я - веб-разработчик, и я должен запустить некоторые сторонние программы на своем сервере. Так как эти программы являются третьим лицом, и я не всегда на 100% уверен в их надежности, я запустил бы эти программы с определенными полномочиями. Так как эти программы должны будут записать файл в диск, я хочу настроить полномочия запретить доступа ко всему жесткому диску (я не хочу даже только для чтения), за исключением одного каталога, где эти программы впишут. Я думал, что самый легкий способ достигнуть этого:
/var/example/thirdparties
@reboot sh /var/example/thirdparties/run-all-thirdparties-programs.sh
)Мой вопрос.. технически разговор, как я могу создать их группа/пользователь и настроить полномочия? если я запущу программу, принадлежавшую определенному пользователю, то та программа наследует полномочия от его группы/пользователя владельца? я являюсь абсолютно новым в Сервере Ubuntu..
Также.. если у кого-либо есть лучшая идея достигнуть моей цели, у меня большие уши :) спасибо
Стандартная система разрешения в Linux не поддерживает хорошо вариант использования, который Вы описываете (например, "запрещают доступа ко всему жесткому диску"). Лучший подход должен был бы попытаться использовать chroot
или docker
, удостовериться, что прогоны программы в среде, которая изолируется от основной системы.