cat /var/log/abc
#include <tunables/global>
/server/script.sh {
#include <abstractions/base>
deny /*** rwk,
/server/script.sh r,
/server/** rw,
}
Нужно, чтобы у /server/script.sh был доступ только к папке /server, но при выполнении скрипта с этим конфигом он спокойно читает содержимое из /var/log
/bin/sh
(или что у этого /server/script.sh
написано в шебанге), а не сам /server/script.sh
.