Dla niektórych użytkowników „bob” w Linuksie możliwe jest ograniczenie rzeczy wykonywalnych przez „bob” tylko do określonych ścieżek.
Załóżmy na przykład, że „bob” ma katalog domowy / home / bob
„bob” nie może nigdy odczytywać / zapisywać / wykonywać (zero praw) niczego powyżej / home / bob.
/ bin, / lib, / usr / bin, / usr / lib, / usr / local / bin, / usr / local / lib itp. mają jawnie odpowiednie ustawienia rx - więc 'bob' może wykonywać rzeczy z tych ścieżek, ale nie pisz do nich.
„bob” ma prawa rwx do własnego katalogu (/ home / bob), ale czy można domyślnie zabronić bobowi wykonywania rzeczy z jego własnego katalogu, a następnie zezwolić, aby niektóre rzeczy (programy uruchamiające, skrypty itp. selektywnie) mogły być wykonywane przez „bob” „
Uwaga - 'bob' może kompilować własne rzeczy w / home / bob i uruchamiać te rzeczy (należy temu zapobiec). Również „bob” może zawsze używać chmod, chgrp itp. Na plikach będących jego własnością. Potrzebne jest zapobieganie wykonywaniu - nawet w przypadku posiadanych plików.
źródło