因此,如果我想在fork之后的子进程上使用exec()运行二进制文件,但是想要将其文件访问权限仅限于某个目录,那么如何安全地执行此操作?
这是否涉及在unix / linux中创建新用户,然后将uid设置为该用户?或者这需要创建一个组(例如,webapps)然后使用setguid?
当然,可以按原样运行二进制文件,但似乎采取一些安全预防措施绝不是一个坏主意。
答案 0 :(得分:1)
我看看chroot。这是分离系统各部分的一种相对简单的方法。
简而言之:您更改了特定进程的根目录,因此/ path / to / working / dir现在/用于该进程。当然,您必须将所有必要的内容(实用程序,库,配置)添加到此文件夹中。