问题：

大家好，

我正在尝试保护我的开发人员帐户，Linux主目录位于LUKS加密分区的顶部。

这个想法是，如果机器被盗了，那么小偷将会得到一个很好的砖砌系统，因为每次机器重启时都会要求输入加密的文件系统密码。

理想情况下，希望将所有新文件创建命令（git clone，cp，tar等）限制为仅在主目录上运行，而在本地文件系统上不起作用。

那我有什么选择呢？

• 开发人员没有可以在其中写入文件的目录（/ tmp分区除外），但对其进行加密也可能会过分杀伤。
• 可以通过SE Linux策略强制执行吗？
• 可以使用GIT_DIR和GIT_WORK_TREE环境变量，但这会使事情变得复杂并且不会防止意外的tar，cp
• 我还研究了gcrypt之类的“加密git”的几种实现，但我不知道这些项目有多成熟。然后，一旦克隆出存储库，就可以对加密区域之外的文件进行cp，tar。

这可行吗？

也许我是用错误的观点看问题，所以任何提示都将不胜感激。

谢谢！