そのユーザーとして実行されているプロセスで何らかの方法で変更できないように、権限のないユーザーとして実行されているbashでファイルを免疫としてマークできますか?他のユーザーやルートがこれを変更できる場合は問題ありません。
私のユーザーケースは、別のプロセスを開始する前に設定ファイルを準備することです。プロセスがエラーや意図的な悪用によってファイルを修正するのを防ぎたいと思います。
chmod a-w path簡単にキャンセルできるので、使用したり類似したものは良くありません。プロセスがルートではないため、ファイルの所有権を変更できません。chattr +i pathプロセスにCAP_LINUX_IMMUTABLEがないため使用できません。
そのような変更を行うためにsetuid / sudoプログラムまたは実行可能ファイルにCAP_LINUX_IMMUTABLEを設定するプログラムを使用する唯一のオプションはありますか?
ベストアンサー1
Apparmorとselinuxを使用して、プロセス権限を細かく制御できます。これには、プロセスにファイルを書き込むのではなく、ファイルを読み取る機能を提供することが含まれます。
火災刑務所よりユーザーフレンドリーなラッパーです。
このオプションは、新しいプロセスを作成するときにファイルへの書き込みアクセスを削除するために使用できます。--read-onlyこれは望むようです。