xenon
@xenon
Too drunk to fsck

Как ограничить полномочия скрипту на запись (легковесный chroot)?

Возникла простая типовая задача - в определенном каталоге удалять скриптом по крону старые бэкапы. Вроде сделал скрипт, все ОК, но все равно легкий мандраж есть. Вдруг я где-то накосячил, или вдруг появится файл со странным именем типа "file1 file2" (и выполнится rm -rf file1 file2, хотя их удалять нельзя).

В общем, хочется даже не думать (если думаешь - можно ошибиться), а как-то просто и надежно изолировать скрипт. Что-то вроде:
writelimit /home/backups /usr/local/bin/myscript.sh


и быть уверенным, что даже если скрипт намеренно будет удалять все подряд, за пределами /home/backups ничего сделать не сможет. При этом скрипт может использовать все утилиты с диска вроде /usr/bin/find, /usr/bin/rm, которые требуют библиотек из /lib и /usr/lib.

Есть что-то подобное? А если нету - то в какую сторону копать, через cgroups это можно сделать?
  • Вопрос задан
  • 85 просмотров
Пригласить эксперта
Ответы на вопрос 1
@rPman
запускать скрипт под специально созданным пользователем backup и выдать права на каталог с бакапами только там где это допустимо
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы