Existe uma maneira de permitir que o comando chown seja executado por www-data, mas limitando-o de forma que o proprietário do arquivo possa ser alterado apenas para uids greator do que o do usuário www-data?
Eu já pesquisei muito e a única forma de permitir que o chown seja executado por qualquer outro usuário que não seja root requer privilégios de sudo para esse usuário, mas isso não é uma opção para mim até que eu possa garantir que o proprietário não esteja definido para qualquer usuário com uid menor que www-data.
Para contextualizar, estou criando um aplicativo no qual estou tentando simular hospedagem criando um novo usuário linux para cada usuário inscrito. O usuário pode então fazer upload de arquivos, mas eu preciso mudar o proprietário desses arquivos para o usuário linux correspondente.
Tem certeza de que www-data precisa fazer chown ? Por favor, explique o porquê. Não é possível obter /bin/chown para restringir os UIDs. Você terá que escrever um wrapper em torno de /bin/chown que faz a validação de entrada, em seguida, chama o% real/bin/chown e, em seguida, permitir o acesso www-data somente ao wrapper.