信頼できない(不安定な)アプリケーションを使用し、権限のないユーザーとして実行するため、問題が発生しても被害はそのユーザーのホームフォルダに制限されます。
- このユーザーの下のすべてのファイルからsetuidとsetgidビットを削除しました。
- これらのファイルは、ユーザーとユーザー名を持つグループによって所有されます。
- ユーザーとグループが書き込むことができる唯一のファイルは、ユーザーのホームディレクトリにあります。
- ユーザーは/usr/binなどの他のファイルを読み込んで実行できます。
ダメージがユーザーのホームフォルダに限定されていると見ても問題ありませんか?
より安全にするために追加の考慮事項がありますか?