Сервер - Выполнение программа, позволяющая его только для записи на определенном каталоге
я - веб-разработчик, и я должен запустить некоторые сторонние программы на своем сервере. Так как эти программы являются третьим лицом, и я не всегда на 100% уверен в их надежности, я запустил бы эти программы с определенными полномочиями. Так как эти программы должны будут записать файл в диск, я хочу настроить полномочия запретить доступа ко всему жесткому диску (я не хочу даже только для чтения), за исключением одного каталога, где эти программы впишут. Я думал, что самый легкий способ достигнуть этого:
- создайте группу "третьи лица"
- создайте пользователя "третьи лица-пользователь"
- запретите доступа ко всему жесткому диску (даже не только для чтения) группе "третьи лица"
- позвольте чтение-запись в
/var/example/thirdparties - набор "третьи лица-пользователь" как владелец программ я должен работать
- запишите cronjob при "третьих лицах-пользователе" для запуска программ при запуске (что-то как
@reboot sh /var/example/thirdparties/run-all-thirdparties-programs.sh)
Мой вопрос.. технически разговор, как я могу создать их группа/пользователь и настроить полномочия? если я запущу программу, принадлежавшую определенному пользователю, то та программа наследует полномочия от его группы/пользователя владельца? я являюсь абсолютно новым в Сервере Ubuntu..
Также.. если у кого-либо есть лучшая идея достигнуть моей цели, у меня большие уши :) спасибо
1 ответ
Стандартная система разрешения в Linux не поддерживает хорошо вариант использования, который Вы описываете (например, "запрещают доступа ко всему жесткому диску"). Лучший подход должен был бы попытаться использовать chroot или docker, удостовериться, что прогоны программы в среде, которая изолируется от основной системы.