Приватная директория для шелл скрипта

Недостаточно условий. Рут есть? Unprivileged user mount namespaces? Если нет, то ничего кроме mktemp в голову не приходит.

Если не знаешь как проверить, то попробуй unshare -rm и в нем mkdir -p /tmp/private && mount -t tmpfs tmpfs /tmp/private, должно получиться как раз «директория, которая существует в ОЗУ и лишь в период работы данной сессии скрипта и видна лишь процессам порожденным из скрипта».

root есть, не проблема, я ведь хотел монтировать tmpfs, но к ней будут иметь доступ и другой софт от рута, здесь дыра. Про namespaces впервые слышу, буду смотреть, спасибо, может мне оно и нужно, если в этот неймспейс и его артефакты (всякие файлы) снаружи никак не попасть.

Смахивает на паранойю может быть, но коль уж пишу подобную утилитку для удобства, то хочется сделать не «как обычно».

Распаковывай в директорию, куда нет доступа у посторонних процессов.

man chown 
man chmod

Это можно сделать через bubblewrap. Хотя это нестандартное средство.

В этом и дело, что у рута есть доступ во всё. Тут масса вариантов даже если откинуть вредоносный софт, вот, например, мне вообще неизвестно чем занимается systemd со своими постоянными аудитами, не получится ли так, что сохраняется некий кэш на диске в результате её деятельности, где будут мои данные.

но к ней будут иметь доступ и другой софт от рута, здесь дыра

Софт от рута и так и так будет иметь доступ куда угодно. Не запускай от рута сомнительный софт, это чревато проблемами.

если в этот неймспейс и его артефакты (всякие файлы) снаружи никак не попасть.

Рут снаружи (который настоящий) может попасть куда угодно. В том числе он может тупо сдампить всю физическую память компа и отправить её куда-нить по сети для дальнейшего анализа. Повторю, не пытайся прятаться от рута, лучше не запускай от рута что попало.

что сохраняется некий кэш на диске в результате её деятельности.

В свап может почти что угодно попасть без участия каких-либо процессов и их прав вообще. Хотя там как раз вроде есть настройки запрета. Штатные системные процессы мейнстримных дистров содержимое рандомных файлов никуда не копируют.

Это как из сарая построить кирпич.

Две команды, готовые, возьми да проверь.

ЯННП

запущен некий шелл скрипт, он расшифровывает какие-то данные
запускается редактор

Какой редактор, человек редактирует или скрипт?

скрипт зашифровывает и удаляет промежуточный файл.

Если речь не про человеков то всё можно сделать «адним макаром» используя пайпы.

Какой редактор, человек редактирует или скрипт?

Скрипт расшифровывает, запускает редактор, человек правит или нет и закрывает редактор, дальше скрипт смотрит - были ли правки, если да, то перешифровывает и отправляет в разные хранилища.

Спасибо. Пока понял, что лучше монтировать ramfs, она без свопа, связываться ли с неймспейсами? Что-то мне подсказывает, что в общедоступном месте где-нибудь будет точка входа в это пространство, тогда непонятно зачем всё переусложнять.

Что-то близкое предоставляет systemd: https://systemd.io/TEMPORARY_DIRECTORIES/

Но root всё равно сможет увидеть, полагаю.

Ну тогда сохраняем «человеку», а не в /tmp профит?

setfacl?

А оно может сделать доступ для конкретного PID и его детей и не пускать даже рута? Вряд ли, наверное. В конечном итоге забил, запускаю скрипт, проверяю в нём выключен ли своп, если да, то монтирую tmpfs и начинаю туда расшифровывать. Допускаю, что остаются какие-то дыры из-за systemd, которое лезет и что-то там проверяет (и кэширует).