История изменений
Исправление firkax, (текущая версия) :
Например, браузеру совершенно нечего иметь право шариться в .local/bin
Как ты это нормально реализуешь с помощью uid/gid?
Странный вопрос. Ты как будто считаешь, что это нельзя сделать без acl, но можно с acl?
Можно браузеру сделать отдельного юзера например. И как тебе acl тут что-то улучшит я не знаю, он всё равно на uid-ы опирается и без выноса браузера в отдельного юзера он ничего не даст.
Ну и надо не забывать, что кроме раздачи прав доступа на файлы (коих два варианта: традиционный uid/gid и нетрадиционный acl) есть и другие способы управления доступом: selinux/apparmor, различные контейнеры, начиная с chroot, и виртуалки.
Вообще, uid/gid/mode доступ можно считать частным случаем acl, только все списки доступа тут строго из трёх строчек: некий uid, некий gid и «для всех». В acl же строчек может быть сколько угодно, но ценой запутывания всех.
Исходная версия firkax, :
Например, браузеру совершенно нечего иметь право шариться в .local/bin
Как ты это нормально реализуешь с помощью uid/gid?
Странный вопрос. Ты как будто считаешь, что это нельзя сделать без acl, но можно с acl?
Можно браузеру сделать отдельного юзера например. И как тебе acl тут что-то улучшит я не знаю, он всё равно на uid-ы опирается и без выноса браузера в отдельного юзера он ничего не даст.
Ну и надо не забывать, что кроме раздачи прав доступа на файлы (коих два варианта: традиционный uid/gid и нетрадиционный acl) есть и другие способы управления доступом: selinux/apparmor, различные контейнеры, начиная с chroot, и виртуалки.