Eu tenho um diretório chamado / test, existem dois arquivos:
info.txt
script.sh
Eu quero conceder acesso somente leitura ao usuário john e fiz o seguinte:
setfacl -m u:john: r test/
Com o comando acima john não pode acessar a pasta porque ele não tem permissão de execução, então eu tentei novamente com isso:
setfacl -m u:john: rx test/
Ok, agora funciona: o usuário john pode acessar a pasta e ler os arquivos.
No entanto, , ele pode executar script.sh. O último poder que eu não pretendia conceder. Como devo proceder?
Você pode fazer chmod o-x test/script.sh , mas isso é inútil. O usuário pode simplesmente copiar o arquivo para seu diretório pessoal, torná-lo executável e executá-lo a partir daí. Ele será executado com privilégios do usuário, a menos que seja setuid. E os scripts de shell não podem ser setuid, mas copiar um arquivo setuid removerá o bit setuid da cópia de qualquer maneira.