问题：

你好团队，

我正在尝试保护我的开发人员帐户，Linux 主目录位于 LUKS 加密分区的顶部。

这个想法是，如果机器被盗，那么小偷将得到一个漂亮的砖砌系统，因为每次机器重新启动时都会询问加密的文件系统密码。

理想情况下，希望将任何新的文件创建命令(git clone、cp、tar 等(限制为仅在主目录上工作，而在本地文件系统上不能在其他任何地方工作。

那么我有什么选择呢？

• 除了/tmp 分区之外，开发人员没有可以写入文件的目录，但加密它也可能是矫枉过正的。
• 这可以通过 SE Linux 策略强制执行吗？
• 可以使用GIT_DIR和GIT_WORK_TREE环境变量，但这会使事情变得复杂，并且不能防止意外的tar，cp
• 我还研究了像gcrypt这样的"加密git"的几个实现，但我不知道这些项目有多成熟。同样，一旦存储库被克隆出来，您就可以cp，tar加密区域之外的文件。

这可行吗？

也许我用错误的角度看待问题，任何提示将不胜感激。

谢谢！