Помогите мне узнать, возможен ли этот сценарий с использованием Linux. Я хочу защитить доступ к системному пути "/ mnt / data".
Ограничения пользователей системы:
'daemon_user' постоянно создает новые файлы, поэтому ограничение «не удалять / перезаписывать» должно применяться и к созданным новым файлам.
Примечание. Изначально я отказываюсь использовать chattr, поскольку это относится ко всем пользователям, включая root. Я не хочу такого уровня ограничений.
Вы можете реализовать daemon_user и read_user с расширенными ACL POSIX (getfacl, setfacl, chmod, chown). Для appender_user вы можете использовать атрибут append (chattr +a filename, lsattr), но это будет ограничивать всех пользователей.
Другой способ реализовать это - использовать службу, ограничивающую доступ к этим файлам. Например. вы делитесь файлами с самба и вы используете Windows ACL с атрибутом только добавления.
Другой способ реализовать appender_user - создать целевую политику SELinux. Смотри как httpd_sys_ra_content_t был реализован.