Я как бы изучаю возможности SELinux, и мне интересно, можно ли запретить конкретному пользователю доступ к / tmp.
Понятно, что отключать все разрешения - плохая идея, поэтому я надеюсь, что SELinux сможет настроить таргетинг или ограничить немного более точно, чем просто запретить всем пользователям.
Дополнительная информация
Есть процесс, у которого есть собственное внутреннее временное пространство, но при «других» обстоятельствах он попытается записать в / tmp. Я бы предпочел, чтобы процесс взорвался и ужасно умер, чем на самом деле сбрасывать его в / tmp, поскольку он вызывает множество других проблем. - да, ясно, как грязь, да?
Для пояснения, записанные данные не являются конфиденциальными, но им также нет места на сервере. Если бы это было возможно, я бы просто сбросил его в / dev / null, но это кажется менее разумным.
Ссылки
http://hg.openjdk.java.net/jdk7/jdk7/hotspot/file/97b64f73103b/src/os/linux/vm/os_linux.cpp (о строке 1624) (источник вдохновения https://stackoverflow.com/questions/1924136/environment-variable-to-control-java-io-tmpdir)