Исправление intelfx, (текущая версия) :
Во-первых, несколько пользователей. С общей группой (пусть будет foobar) и общей домашней директорией.
А потом — для этой директории...
cd /home/user
chown -R nobody:foobar .
chmod -R ug+rw .
find . -type d -exec setfacl -d -m u=rwx,g::rwx,o::rx {} \;
Получаем, что все юзеры могут иметь доступ к /home/user (потому что группа общая), а через ACL задано, что права на вновь созданные файлы должны быть не 644, а 664.
А вот после этого можно тому самому каталогу присвоить виртуального юзера-владельца (chown -R secret_user secret_dir; очевидно, python запускать под ним же), разрешить доступ к каталогу только владельцу (т. е. chmod -R go-rwx secret_dir), а доверенным юзерам через sudo разрешить запускать оболочку от имени виртуального юзера.
Исправление intelfx, :
Во-первых, несколько пользователей. С общей группой (пусть будет foobar) и общей домашней директорией.
А потом — для этой директории...
cd /home/user
chown -R nobody:foobar .
chmod -R ug+rw .
find . -type d -exec setfacl -d -m u=rwx,g::rwx,o::rx {} \;
Получаем, что все юзеры могут иметь доступ к /home/user (потому что группа общая), а через ACL задано, что права на вновь созданные файлы должны быть не 644, а 664.
А вот после этого можно тому самому каталогу присвоить виртуального юзера-владельца (очевидно, python запускать под ним же), разрешить доступ к каталогу только владельцу (т. е. chmod -R go-rwx), а доверенным юзерам через sudo разрешить запускать оболочку от имени виртуального юзера.
Исправление intelfx, :
Во-первых, несколько пользователей. С общей группой (пусть будет foobar) и общей домашней директорией.
А потом — для этой директории...
cd /home/user
chown -R nobody:foobar .
chmod -R g=u .
find . -type d -exec setfacl -d -m u=rwx,g::rwx,o::rx {} \;
Получаем, что все юзеры могут иметь доступ к /home/user (потому что группа общая), а через ACL задано, что права на вновь созданные файлы должны быть не 644, а 664.
А вот после этого можно тому самому каталогу присвоить виртуального юзера-владельца (очевидно, python запускать под ним же), разрешить доступ к каталогу только владельцу (т. е. chmod -R go-rwx), а доверенным юзерам через sudo разрешить запускать оболочку от имени виртуального юзера.
Исправление intelfx, :
Во-первых, несколько пользователей. С общей группой (пусть будет foobar) и общей домашней директорией.
А потом — для этой директории...
cd /home/user
chown -R nobody:foobar .
chmod -R g=u .
find . -type d -exec setfacl -d -m u=rwx,g::rwx,o::rx {} \;
Получаем, что все юзеры могут иметь доступ к /home/user (потому что группа общая), а через ACL задано, что права на вновь созданные файлы должны быть не 644, а 664.
А вот после этого можно тому самому каталогу присвоить другого юзера-владельца (очевидно, python запускать под ним же), разрешить доступ к каталогу только владельцу (т. е. chmod -R go-rwx), а доверенным юзерам через sudo разрешить запускать оболочку от имени того самого юзера.
Исходная версия intelfx, :
Во-первых, несколько пользователей. С общей группой (пусть будет foobar) и общей домашней директорией.
А потом — для этой директории...
cd /home/user
chown -R nobody:foobar .
chmod -R g=u .
find . -type d -exec setfacl -d -m u=rwx,g::rwx,o::rx {} \;
Получаем, что все юзеры могут иметь доступ к /home/user (потому что группа общая), а через ACL задано, что права на вновь созданные файлы должны быть не 644, а 664.
А вот после этого можно тому самому каталогу присвоить другого юзера-владельца (очевидно, python запускать под ним же), у остальных права забрать (т. е. 700), а доверенным юзерам через sudo разрешить запускать оболочку от имени того самого юзера.