Запуск программы без доступа к моим данным

[avi9526]

У меня стоит BOINC скачанный с оф. сайта (не из репозитория)
Я его запускаю от моего пользователя. Я не сомневаюсь, что ничего вредоносного в BOINC нету, но хотелось бы (хотя бы для получения сих навыков), ограничить его доступ к моим папкам.
Он у меня "лежит" в "/home/avi9526/Programs/BOINC/" и мне надо сделать так, что бы он никак не мог посмотреть что находится в "/home/avi9526/Programs/" и выше, и уж точно не смог там ничего изменить (на какие-то папки конечно чтение точно должно быть а то небось и не запустится ).
Т.е. у программы должен быть доступ только к необходимым для выполнения заявленных функций папкам.
Не подскажете как? (без WM)
Спасибо!

[S@nt@S]

сделать пользователя, которому разрешить доступ только к требуемым каталогам
и запускать софтину от имени этого пользователя

[avi9526]

пользователя, которому разрешить доступ только к требуемым каталогам

как?
придется делать запрет на чтение моей папки другими пользователями?

Код: [Выделить]

chmod -R 740 /home/avi9526Не охота мои данные трогать О_о

[Quiniqu]

Гугли -apparmor

[avi9526]

Гугли -apparmor

гугл выдал еще про selinux, и там и там очень много текста в стиле "ЭВМ - это ..."
Можете пожалуйста помочь сузить область рассмотрения данного вопроса.
Мне по сути надо пользователю "boinc" запретить доступ ко всему "/home" кроме "/home/Programs/BOINC" (его домашний каталог)

[ArcFi]

http://www.ibm.com/developerworks/ru/library/l-apparmor-2/
http://vasilisc.com/rules_apparmor

[avi9526]

я пока разбираюсь с создание пользователя который будет запускать эту программу
написал скриптик, кто-нибудь может прокомментировать?

Код: [Выделить]

useradd boinc
usermod boinc -d "/home/avi9526/Programs/temp/" -s /bin/bash
addgroup boinc-group
usermod -aG boinc-group boinc
chown -R boinc:boinc-group "/home/avi9526/Programs/temp/"
chmod -R 777 "/home/avi9526/Programs/temp/"
я вот только не знаю как запустить программу от пользователя

Код: [Выделить]

sudo -i -u boinc ./run.sh
мой пароль требует О_о, а мне его а автозапуск добавить надо( пароль не в тему. Что делать? (кроме man *)

[Alie Alexandross]

Код: [Выделить]

sudo -u boinc ./run.shТак тоже пароль требует?

[avi9526]

Код: [Выделить]

sudo -u boinc ./run.shТак тоже пароль требует?

да

[Quiniqu]

А если без sudo?

[avi9526]

А если без sudo?

мне от имени этого пользователя надо запустить, как еще можно?

[Quiniqu]

ну тогда можно прописать в /etc/sudoers не спрагивать пароль на этот скрипт

[Alie Alexandross]

Довольно странно, учитывая то, что сама проверила запустить от имени другого непривилегированного пользователя простую команду echo и ls - пароль не потребовался. Вашему скрипту случайно админский доступ не нужен?

[avi9526]

в нем написано

Код: [Выделить]

echo "WTF?"помоему для этого не нужен админский доступ О_о

А пользователя как создала?
по моему скрипту создания нового пользователя boinc или нет, может я что-то пропустил, может его надо было создавать с ключом "--system"

[Alie Alexandross]

Код: [Выделить]

sudo useradd -M -N -s /bin/bash noneuserСкрипт будет работать, если его вынести вместе с каталогом за пределы домашнего каталога пользователя.
Попробуйте создать директорию /home/boinc (а лучше в /etc/boinc/noneuser) и поместить скрипт туда.
Кстати, для подобных операций в системе есть nobody пользователь.