最好的解决方案是以 SELinux 用户user_u或运行会话staff_u，这将更严格地强制其他应用程序和在gpg_pinentry_t域中运行的 pin 条目应用程序之间的进程间通信。

默认情况下，用户被映射到unconfined_u，这提供了一些保护，但不像你运行的东西那样多user_u（例如，你会注意到大多数东西运行为unconfined_t，但 firefox 插件执行为mozilla_plugin_t）。

对于极度偏执狂，你可以试试Qubes OS，它正好解决了这个问题——但它需要习惯它对你的工作环境施加的限制。