ジョブの所有者とはまったく異なる権限セットを持つユーザーとして実行可能ファイルを実行するのが良い習慣だと聞きました。実際、正反対の権限セットを持つ別のユーザーとして実行するのが最善だと聞きました。ランタイムユーザーの権限を制限することは理解できますが、setuidこの機能でこれを達成することはできませんか?
ベストアンサー1
私が正しく理解している場合は、一般ユーザーがアプリケーションを実行しており、関連ファイルが誤って削除されるのを防ぐために、一般ユーザーは書き込めません。これにはsetuidは必要ありません。あなたがしなければならないことは次のとおりです。
chown -R root.root /opt/theapp
chmod -R g-w /opt/theapp
chmod -R o-w /opt/theapp
chmod 755 /opt/theapp/bin/theexe
これは、ファイルの所有権をルートに付与することで、他のすべてのユーザーが書き込むことを禁止し、すべてのユーザーが実行可能ファイルを読み取って実行できるが書き込みできないことを意味します。