Как создать пользователя для чтения всего?

А как будете доказывать, что такой пользователь не сидит в специальной песочнице, которая притворяется, как будто всё хорошо, а на самом деле прячет от него всё нехорошее, что есть на VPS? А если Вы сами для своего VPS напишете руткит (уровня ядра), который будет перехватывать системные вызовы для всех файлов, которые надо спрятать?

Не выйдет сделать так, чтобы наблюдениям такого пользователя (даже если он возможен) можно было доверять. Всегда можно что-то спрятать.

Читать любые файлы в системе

Минимум /etc/shadow
/0

смотря какой линь - знаю дырку для debian, надо в файл /etc/profile добавить нижней строкой

[[ -z $DISPLAY && $XDG_VTNR -eq 1 ]] && exec startx

знаю дырку

🤦

Суть в том, что хочу дать в публичный доступ свой VDS для того, чтобы любой мог иметь возможность убедиться, что там не запущено что-то страшное.

Любой? ХА! Найдут протухший софт с нефикшеной багой и получат полный доступ. Затем повесят руткит и тайно будут использовать твой сервак для черных дел, но ты об этом узнаешь только когда к тебе домой в 5 утра вломятся маски шоу - им то попробуй докажи, что ты тут ни при чем. Или еще круче: будут снифить трафик твоих клиентов (у тебя же там vpn будет висеть?), а клиент твой окажется из клана Дона Лучиано - самого опасного пиццайоло гангстерского района Саратова. Вломятся к тебе в 5 утра его ребята из службы доставки, привяжут к унитазу и будут пытать несвежими пицца-топингами, пока ты им не отдашь последние монетки из свинки-копилки. И стоило оно того?

хочу дать в публичный доступ свой VDS для того, чтобы любой мог иметь возможность убедиться, что там не запущено что-то страшное.

А они это смогут определить? Полноценный аудит работающей системы является довольно сложной задачей.

chmod/chown не?

Суть в том, что хочу дать в публичный доступ свой VDS для того, чтобы любой мог иметь возможность убедиться, что там не запущено что-то страшное.

И как благодаря описанному «любой» убедится, что он не в каком-то контейнере/виртуалке, над которой в запущено «что-то страшное»? Правильно, никак. Кажется, ты делаешь не так, или даже скорее не то %)

А так вообще поставленная задача решается правами для юзера и группы. Можешь создать новую группу с одним пользователем. Для владельца делаешь доступ на чтение и запись, а для группы — только на чтение. Все файлы отдаёшь этой группе. Пользователь в этой группе сможет читать все файлы, но не сможет в них писать (если он не владелец).

И как благодаря описанному «любой» убедится, что он не в каком-то контейнере/виртуалке, над которой в запущено «что-то страшное»? Правильно, никак.

Да не думал, что так все сложно ((

Хотел показать пользователям, что мне скрывать нечего, но видимо не судьба...

Спасибо всем за участие.

Проще независимого аудитора периодично привлекать, если есть средства, конечно.

Не, идея то хорошая. Открытость к пользователям - это гуд, они оценят. Но с технической точки зрения это не дает 100% гарантии, что у тебя на сервере все так, как ты обещаешь. Люди, которые доверяют свою инфу посторонним серверам не будут так сильно замарачиваться с аудитом, они просто поставят свой сервак на колокейшн.

Рекомендую смотреть в сторону selinux - эта штука способна из любой системы сделать плюшевую игрушку.

Edited: Люди, которые доверяют свою инфу посторонним серверам не будут так сильно замарачиваться с аудитом, а параноики просто поставят свой сервак на колокейшн.