У меня вопрос о лучших методах безопасности при настройке устройства для использования пользователями, которые должны иметь возможность использовать программу, но не изменять систему.
Допустим, у меня есть папка /opt/myapp содержащий множество файлов, которые читает моя программа. Чтобы пользователь не слишком много узнал о внутреннем устройстве моего программного обеспечения, я не хочу, чтобы пользователь имел доступ к этим файлам (и я отмечаю, что само программное обеспечение также ничего не записывает в этот каталог).
Предположим, что у папки есть владелец / группа, отличная от учетной записи пользователя. Таким образом: бег chmod o-rwx /opt/myapp удаляет все разрешения «Другие», поэтому пользователь не может перейти в этот каталог. Следовательно, они не смогут увидеть файлы.
Тем не менее, я отмечаю, что в качестве альтернативы я мог бы также выполнить эту команду повторно, чтобы отозвать разрешения для всех файлов в папке. Но поскольку пользователь не может cd в этот каталог, это актуально?
Мой вопрос: какое решение лучше? Есть ли здесь реальная разница или передовой опыт?