Нетривиальное ограничение пользовательского доступа

Снять пермишен w с родительського каталога

Спасибо большое. Ах, если бы все ларчики открывались так просто!

Праздновать победу было рано - вылез нюанс с «белым списком»(.

Отразил в посте в п.4.

Можно через apparmor попробовать, или через какой-либо другой MAC. Но как не спрашивай, не знаю, просто идея.

два конкретных файла с конкретными именами

Создать заранее и пусть перезаписывают? Удаление будет запрещено.

1. Собрать usi образ системы (root)

• При старте системы, скрипт ищет определенный диск, если диск найден монтирует его.
• Далее на диске ищется путь с пользователями (systemd-nspawn контейнер для каждого юзера кроме root)
• Логин менеджер запускает графическую сессию используя systemd-nspawn

2. Скомпилировать терминал таким образом, что при старте терминала, он получает имя текущего пользователя что запустил его, если пользователь не root то вместо открытия терминальной сессии он запускает microvm (crosvm, muvm, cloud-hypervisor) и прыгает в него

Остальные варианты ограничения это шляпа шляпна

https://overhead.neocities.org/blog/build-usi-mkosi/

Подозреваю, в 99% будет достаточно:

1. Написать Readme.md с описанием правил чего можно, чего нельзя. Положить в папку с нетривиальным доступом.
2. Написать скрипт, который будет удалять чего нельзя.
3. Запускаешь скрипт через inotifywait. Если пользователь потратил час на создание файла, который скрипт снесёт за пол секунды, киваешь на пункт №1.

Взять 9p и накостылять на нем со списками и ограничениями.

Написать скрипт, который будет удалять чего нельзя

Давно написан. Но я хочу, чтоб у юзера не получалось даже создавать.

Целая файловая систему для моей хотелки это перебор. Но за информацию спасибо.

Ну зачем целую, тебе нужно просто проксировать и давать отлуп на те действия которые нельзя.

Белый список — уж слишком жёсткое условие. А нельзя просто создать два пустых файла и дальше обрабатывать их особым образом?

очевидный FUSE очевиден

Белый список — уж слишком жёсткое условие

Да. Портит мне весь феншуй. Но такова, увы, суровая реальность - есть два файла, по отношению к которым юзер чувствовать себя полностью по дефолту.

Вскроюсь: я умучиваю мозиллу файрфокс. Пользователь, которого я курощаю - это я, который этот броузер запустил. Папка - мой пользовательский профайл файрфокса.

Эти папки:

bookmarkbackups
browser-extension-data
crashes
chrome_debugger_profile
datareporting
extension-store*
gmp-gmpopenh264
mediacapabilities
minidumps
saved-telemetry-pings
security_state
sessionstore-*
settings
storage/permanent
storage/temporary

и

эти файлы:

storage/ls-archive-tmp.sqlite-wal
storage/ls-archive.sqlite
activity-stream.weather_feed.json
bounce-tracking-protection.sqlite
cert_override.txt
containers.json
cookies.sqlite.*
credentialstate.sqlite
domain_to_categories.sqlite
enumerate_devices.txt
ExperimentStoreData.json
logins-backup.json
pkcs11.txt
serviceworker.txt
sessionCheckpoints.json
sessionstore.jsonlz4
shield-preference-experiments.json
SiteSecurityServiceState.bin
Telemetry.ShutdownTime.txt

мне в моём пользовательском профайле глубоко не нужны. Я их, конечно, полуавтоматом прибиваю, но хочу, чтоб они вообще не появлялись. Их много. Каждую в /dev/null линковать - это не то, что б я хотел - мало того, что это просто некрасиво, но ещё я не могу предугадать, что взбредёт в голову улучшаторам в очередной раз.

Трудность в том, что коварный браузер, когда чует какой-то подвох в файлах .parentcontrol и lock верещит и отказывается запускаться. Отсюда и задача - «полностью запретить что-либо создавать, но конкретные два файла полностью разрешить».

AppArmor или SELinux без вариантов.

посмотрю, спасибо!

посмотрю, спасибо!

Нельзя просто взять и посмотреть SELinux. Вам сейчас тут насоветуют)

для решения подобных задач мне потребовалось накостылить ужасную связку между execfuse + оторванные куски jinja template из ansible + yaml

ниже пример при запуске команды ls в точке монтирования fuse сервер запустит текстовый браузер, который получит таблицу Менделеева с википедии и отразит ее в виде файлового дерева.

# /mnt/periodic_table/Ca
# ├── density
# ├── image
# ├── melt
# ├── name
# ├── number
# ├── period
# └── phase
# $ cat /mnt/periodic_table/Ca/period
# 4
fs:
  "/":                                                    
    readdir: 
      sh: |
        lynx -nonumbers -dump -width 256 https://en.wikipedia.org/wiki/List_of_chemical_elements | grep -E '^   [0-9]+ [A-Z]' | awk '{print $2}'
    getattr: 
      sh: *dir
      "/[A-Za-z]+": #                                           # /<element_name>
      cache: 3600000 #in second
      name: element_name
      getattr: 
        sh: *dir
      readdir: 
        list:
          - name
          - density
          - melt
          - number
          - period
          - phase
          - image
        
      "/image":
        cache: 9600 # in seconds
        read_file: 
          sh: |
            curl https://www.inorganicventures.com/pub/media/inorganicperiodictable/elements/${element_name}.gif | convert gif:- png:-
        getattr: 
          sh: *file
           

Каждый шаг по граблям, каждый ящик - пандоровый. Таков путь).

Достойно. Но так морочиться у меня пороху не хватит)

Но так морочиться

и не нужно, это скорее «игрушка», а не инструмент

Праздновать победу было рано - вылез нюанс с «белым списком»(.

Создавать файлы кастомным скриптом, проверяющим белый список, а потом уже редактировать как угодно

Пробовал такое, не влетело (см.). Надо чтоб создавалось полностью(