Как ограничить доступ приложений к папкам под одним и тем же юзером

как использовать механизмы разграничения доступа не используя их

ну офигеть теперь

Не знаю, почитай мануалы по selinux, apparmor, может найдёшь чего..

Интересная задача. Хотя и бесполезная. Легче же просто разграничить по пользователям.

Но чтобы выполнить такую задачу буквально, может попробовать такой финт ушами как suid + права 070 для «сомнительных» приложений? Тоесть поидее suid будет *запрещать* исполнение от имени владельца. После чего назначить этого странного пользователя владельцем запрещенных папок (или файлов в них?), а не запретным выдать 770.

По идее, если «странный пользователь» сам заходит в некоторые папки, доступ будет предоставлен как члену группы. Но если если ограниченное приложение получит инструкции относительно файлов в этих папках, то ему будет запрещен доступ как владельцу. Это все теоретически. Ради дискаса.

https://en.wikipedia.org/wiki/Linux_Security_Modules

как suid + права 670 для «сомнительных» приложений?

Поправил.

Легче же просто разграничить по пользователям.

Иногда - не легче. man DAC, придумали его ох как не зря

По идее такое apparmor должен уметь, но я хз работает ли он под виндой.