Подходящий способ скрыть закрытые ключи от тех, кому разрешено их использовать, - это аппаратный модуль безопасности (смарт-карта или что-то еще хорошо работает). Вы можете сделать это, приложив некоторые усилия для ключей SSH (поиск в Google показывает этот учебник об этом с некоторым неуклюжим оборудованием и GPG ).

Однако, если вас беспокоит что-то, что не является shell, учитывая, что множество эксплойтов дает вам оболочку, AppArmour может таким образом ограничивать разрешения файловой системы, хотя я считаю, что делать это внутри домашних каталогов немного сложнее для управления многопользовательскими системами.

SELinux тоже может это делать; вы помещаете метку безопасности на файлы и разрешаете только ssh читать их .

Имейте в виду, что пользователь обычно может создавать свои собственные ключи SSH, и обычно является их владельцем, что означает, что он может настраивать любые поставленные метки и разрешения. Это предположение, которое существует.

Если вы собираетесь запускать вирусы, вы можете следовать некоторым правилам, которые сделают вас намного безопаснее, чем любое из следующих:

• Машины, которые намеренно запускают вирусы, должны быть в некоторой степени изолированы. В частности, они не должны выступать в роли прыжковой коробки для чего-либо. У них должен быть ограниченный доступ к сети (в их собственной VLAN) вплоть до необходимого минимума. У них никогда не должно быть учетных данных, таких как закрытые ключи X.509 или закрытые ключи SSH, которые позволят им аутентифицироваться для чего-либо.
• Вам необходимо сохранить возможность быстро перестраивать эти машины в автономном режиме. Это делает виртуальные машины со снэпшотами очень привлекательными для такого рода исследований.
• Все, о чем вы заботитесь, не должно храниться на машинах, используемых для запуска вирусов.
• Если вирусы созданы вами или их работа находится под вашим контролем, по возможности, сделайте их инертными. Адреса C&C должны быть черными дырами (192.0.2.1, IP-адрес, зарезервированный для тестирования и документации, является хорошим; 0.0.0.0 также может быть подходящим; blackhole.iana.org - хорошее DNS-имя). Если они должны быть реальными адресами, вы можете разместить для них специальный тестовый C&C в сети с ограниченным доступом.
• Будьте очень осторожны, если вы используете чужой C&C и вирус, который вы не контролируете. Если вы делаете это, лучше всего, если вы сделаете это на локальной консоли через отдельное интернет-соединение, никак не связанное с вашей локальной сетью.

Если вы беспокоитесь о случайном запуске вируса, вам может помочь selinux,