Простой способ запретить пользователю делать вызовы аналогичные su, sudo

шанс что к тебе полезут через эти программы ниже, чем шанс того, что к тебе завтра домой приедет лично путин с медведевым и наденут на тебя наручники лично, запихают в автозак и отвезут во владимирский централ.

а на каком основании? ведь Путин В. В. утверждал, что закон надо соблюдать, а вышеописанное действие скорее всего незаконное

чем скайп к твоим документам полезут.

оператору скайпа таки легче это сделать раз так в 100500 в 100500-ой степени
и у ЗОГ-а любимое занятие «чемоданчики» с документами коллекционировать

Под пользователем app1 запускается приложение app1, оно каким то чудесным образом знает пароль другого пользователя user123, хотелось бы ограничить возможность приложения app1 смотреть файлы пользователя user123, несмотря на то, что приложение знает целевой пароль

Сменить пароль пользователя user123.

/thread

Сменить пароль пользователя user123.

во время замены его прочитают через ПЭМИ, как и все остальные пароли, набираемые на клаве

генерировать сложный пароль для всех пользователей и вводить его через буфер не вариант, потому что бывают ситуации, когда надо ввести пароль в консольной сессии

login:

password:

ПЭМИ

О такой модели угроз надо было прямо в ориджинал посте писать, господин параноик. И да, если такого бояться, то никакой проприетарщины на компе.

а как может навредить проприетарщина в виртуалках, если у виртуальных машин нет возможности подключаться к сетевым сервисам хоста - гипервизора? защищать предполагается инфу на разделах хоста - гипервизора

под exec понимается bit setuid у некоторых прог?

Под exec понимается man 2 execve, который используется для запуска не только setuid а и вообще всех прог. Например, не факт, что твой бровзер не запускает сам себя, или какие-то дополнительное программы ради правого дела. И почти наверняка он запускается не просто так, а каким-то враппером, И везде exec-и торчат.

ради правого дела

а как это можно проверить?

Под exec понимается man 2 execve, который используется для запуска не только setuid а и вообще всех прог. Например, не факт, что твой бровзер не запускает сам себя, или какие-то дополнительное программы ради правого дела. И почти наверняка он запускается не просто так, а каким-то враппером, И везде exec-и торчат.

ну т.е. аналог вызова system(...)
запускалка программ из другой программы
но ведь они запускаются под тем же пользователем, а чтобы поменять пользователя им нужен setuid, верно?

тогда чем могут повредить левые программы, если прав у них не более, чем у той программы, которая их запустила?

достаточно изолировать все setuid и вуаля или нет? :)

аналог вызова system(...)

грубо говоря, system это несколько exec-ов ещё вокруг них всякое.

чем могут повредить левые программы

Например отправить кровавой гебне письмо, за которое тебя на 20 лет запрут. Моя паранойя видит немало неприятностей, а её воображение сильно хуже, чем у реальных взломщиков. Я бы сказал, что setuid-ы представляют угрозу только после закрытия всех остальных потенциальных дыр чем-то, что можно отключить/обойти с чужими правами.

так ведь у меня вполне конкретная задача: ограничить несанкционированный мной доступ браузера к файлам (моим файлам - документам и т.п., отличным от установленных из пакета браузера или общеупотребительных в системе) в файловой системе

можно конечно много чего нафантазировать,

но интересно только то, что относится к задаче