私たちはアプリケーションを持っていますtestApp。notRestrictedアプリケーションを実行しているディレクトリにフォルダという名前があります。私たちは、アプリケーションがそのフォルダにのみ書き込むことができるように、ファイルシステムへのアプリケーションのアクセスを制限しようとします(私たちは、アプリケーションが一般的に読みやすい場所で読み取ることをお勧めします)。 Unixでこのようなことをする方法は?
答え1
アプリケーションを実行するために特別にユーザーを作成します。そのユーザーにnotRestrictedそのディレクトリへの書き込み権限を付与しますが、他のディレクトリには与えないでください。アプリケーションがどこからでも読むことができるかどうかは関係ないので、より複雑なものは必要ありません。
アプリケーションはまだ書き込み可能なパブリックディレクトリに書き込むこと/tmpができ、/var/tmpほとんどの設定でも同じです。これが問題の場合は、以下を設定してください。アクセス制御リストこれらのディレクトリでアプリケーションへの書き込み権限を拒否します(例:Linux)。
setfacl -m user:testUser:0 /tmp /var/tmp
ユーザー・グループに、アプリケーションが書き込みを望まないディレクトリーに対する書き込み権限がないことを確認してください。