папки, мамки, сказал бы название программы. А вообще можешь запускать её с правами отдельного пользователя, которому разрешено читать только определённый каталог, или про selinux почитать

А какая разница что за программа? Тут принцип понять нужно. Почитал про selinux - такого монстра поднимать ради одной программы неоправдано. Значит спецпользователя создам. Спасибо.

sandbox для этого сгодится ещё

Посмотрю

Какой именно? Думаю apparmor осилить.

Самый простой вариант, запуск от отдельного юзера и setfacl на нужные папки-мамки.
Но если программе нужны иксы придется сделать, что-то типа xhost +si:localuser:«$U» для этого юзера.

Создать пользователя с правами чтения только в этой папке, сделать этого пользователя владельцем приложения и установить euid.

chmod u+s my_program

Создать пользователя с правами чтения только в этой папке

Можете написать как это сделать? Я находил информацию только, как ограничить чтение выше домашнего каталога.

С такими вопросами лучше сразу в JOB

В вопросе ничего страшного нет, а если будет желание человек и так подскажет.

Нет, ошибся. Я думал, что euid может как повышать, так и понижать права. Но, похоже, он только повышает их, а значит для ограничения доступа этот способ бесполезен. Остаётся или запускать программу от имени нужного пользователя

sudo -u user program

но тогда надо ещё запретить читать не владельцам и не членам группы каталоги (sudo chmod -R o-rx верхний_каталог) (только не делать этого для корня системы /, иначе можно испортить систему).

Либо создать окружение chroot, поместить в корень этого окружения нужный каталог и запускать программу оттуда.

chroot /chroot-dir /путь_и_имя_программы_относительно_корня_chroot-dir

Предполагается, что chroot окружение создано в каталоге chroot-dir и программа помещена внутрь этого каталога.

В Debian/Ubuntu chroot-окружение можно создать с помощью команды debootstrat (см. man debootstrat). В других дистрибутивах могут быть свои средства, стандартной для всех утилиты автоматического создания chroot-окружения, к сожалению, нет.

Сделал как Вы предлагали: создал отдельного пользователя, а чтобы он не мог (теоретически) читать мою личную информацию - рекурсивно проставил режим доступа 700.

Это самый простой, наверно, вариант. Вопрос решен. Спасибо за советы.

Создать пользователя с правами чтения только в этой папке

Можете написать как это сделать?

Можешь написать в Чём сложность это сделать?

С большой вероятностью у человека с достаточной компетенцией не будет желания бесплатно отвечать на такой вопрос.

создал отдельного пользователя, а чтобы он не мог (теоретически) читать мою личную информацию - рекурсивно проставил режим доступа 700.

А вот 700, имхо, зря, т. к. все файлы вы сделали исполняемыми. Атрибут «x» нужен только для каталогов и действительно исполняемых файлов (программ и скриптов).

Я бы сейчас запустил из домашнего каталога команду

find . -type f -o -type l -exec chmod a-x {} \;

Эта команда снова сделает неисполняемыми все файлы и символические ссылки, не затронув каталоги. А потом вручную проставить атрибут x для всех скриптов, которых, надеюсь, не очень много. Можно, конечно, оставить всё как есть, но тогда при щелчке по любому файлу оболочка будет предлагать его запустить на выполнение.

Создать пользователя с правами чтения только в этой папке

Можете написать как это сделать?

Можешь написать в Чём сложность это сделать?

Да, могу. Я ошибся в том, что искал, как ограничить пользователя, а надо было думать, как ограничить файлы от доступа.

С большой вероятностью у человека с достаточной компетенцией не будет желания бесплатно отвечать на такой вопрос.

Вы ошибаетесь - просто почитайте тему.

find . -type f -o -type l -exec chmod a-x {} \;

Спасибо большое. Я на эту вещь не обратил внимание :)

Почитал про selinux - такого монстра поднимать ради одной программы неоправдано.

Э-э-э… Не знаю что у вас за дистр, но в приличных дистрах селинукс давно поднят по умолчанию, и не зря.

Толсто

Ubuntu, Debian?

Блин, чё за автарка. Бяк