Возникла простая типовая задача - в определенном каталоге удалять скриптом по крону старые бэкапы. Вроде сделал скрипт, все ОК, но все равно легкий мандраж есть. Вдруг я где-то накосячил, или вдруг появится файл со странным именем типа "file1 file2" (и выполнится rm -rf file1 file2, хотя их удалять нельзя).
В общем, хочется даже не думать (если думаешь - можно ошибиться), а как-то просто и надежно изолировать скрипт. Что-то вроде:
writelimit /home/backups /usr/local/bin/myscript.sh
и быть уверенным, что даже если скрипт намеренно будет удалять все подряд, за пределами /home/backups ничего сделать не сможет. При этом скрипт может использовать все утилиты с диска вроде /usr/bin/find, /usr/bin/rm, которые требуют библиотек из /lib и /usr/lib.
Есть что-то подобное? А если нету - то в какую сторону копать, через cgroups это можно сделать?
