Создание ограниченного пользователя Unix

Я ничего не знаю о Fedora, но в Unix / Linux вообще очень мало каталогов, которые доступны для групповой или мировой записи. Единственное, о чем я мог подумать сейчас, это tmp,

Вы могли бы запустить что-то вроде find -x / -type d -perm +go+w (сделайте это для каждой из ваших смонтированных файловых систем), чтобы найти любой каталог, доступный для записи в группе или мире.

Теоретически, вы можете изменить разрешения /tmpзатем установите TEMP переменная среды в пользователях ~/.profile, Тем не менее, вы должны быть осторожны, чтобы не сломать любые системные службы, которые отбрасывают привилегии, такие как apache, squid, postfix и т. Д.

Чтобы получить это право, вы должны изменить группу /tmp что-то вроде wheelзатем убедитесь, что все "пользователи системного демона" находятся в этой группе (см. /etc/group для учетных записей с низким идентификатором пользователя, таких как lp, postfix, wwwrunи т. д.) Некоторые из них могут использовать свой собственный временный каталог, но я не уверен, относится ли это ко всем учетным записям.

Я также не понимаю, почему вы хотите ограничить записи, если этот пользователь все еще может читать все.

Современные операционные системы (Linux, Mac OS, Windows и т. Д.) Разработаны таким образом, что пользователи, не являющиеся администраторами, обычно не могут ничего сломать, написав за пределами своих домашних каталогов.

Если вы беспокоитесь об использовании файловой системы, поместите что-то вроде / tmp в отдельный раздел или используйте дисковые квоты.

Поэтому я не могу дать вам однозначного ответа о том, возможно ли запретить пользователю писать за пределами своего домашнего каталога, но есть приличное изменение, которое вы нарушаете больше, чем помогает.