Как понизить права (rwx) процесса, запущенного пользователем?
Я туплю над вопросом дольше обычного, т.ч. пришёл сюда. Помогите пжлст.
Дано:
-
Непривилегированный пользователь ivan, который не является администратором (не является частью групп wheel, sudo и т.п. и, соотв., не может даже использовать su).
-
Программа myprog. Никаких suid-битов и т.п. на ней нет.
Вопрос:
Как myprog запустить из-под пользователя ivan, чтобы она не имела те же права (rwx) на файлы, созданные пользователем ivan?
Условно, чтобы процесс имел права rw только на файл $XDG_CONFIG_HOME/myprogrc и директорию «$(xdg-user-dir DOCUMENTS)»
Или наоборот: чтобы все права пользователя наследовались процессом, кроме прав на условный «мои_пароли.txt»?
Другие ограничения:
Такого ПО как docker, firejail, bubblewrap не установлено и оно не может быть установлено, т.к. нет админ. прав, а администрация упорно игнорирует пользователя ivan.
Впрочем, ИМХО, как-то избыточно выглядит такой подход.
Исходников myprog нет. Как-то пропатчить её нельзя.
P.S.:
А как такое понижение прав работает в условной Windows или Plan9?