bubblewrap не установлено и оно не может быть установлено, т.к. нет админ. прав

bwrap is a unprivileged low-level sandboxing tool

/0

Сначала всё-таки попробуй собрать и запустить bwrap от имени пользователя, потом посмотрим.

Разве bubblewrap под капотом не дёргает unshare?

А так да, надо было сразу попытаться собрать, спасибо.

Дёргает. Но ты не привёл никаких деталей, как именно оно у тебя не работает. unshare -Ur да или нет?

Как myprog запустить из-под пользователя ivan, чтобы она не имела те же права (rwx) на файлы, созданные пользователем ivan?

А может, запустить её под другим пользователем (buddy), который не имеет прав на файлы пользователя ivan, а доступ к нужным файлам организовать через группы (присвоить этим файлам группу ivan-and-buddies, добавить buddy в эту группу)?

Запускать в докер контейнере, в контейнер пробрасывать только нужные директории и файлы.

Ну, setuid и chroot от юзера сделать не выйдет, разве что unshare остаётся

Пришлось ставить libcap из исходников.

Не смотря на то, что при установке libcap не вышло выставить suid, meson test -C _builddir (при bubblewrap) ни на что не жаловался, что выглядит странно.

Тем не менее, вроде работает, спасибо.

Работает. Не помню, что вводил - там ash без истории команд.

Кстати, не подскажите, как указанный мной префикс ($HOME/.local) добавить в путь, чтобы не приходилось перезаписывать C_INCLUDE_PATH, LIBRARY_PATH, PKG_CONFIG_PATH и иже с ними?

Спасибо.

bashrc/profile?