Crie um usuário dedicado a executar este aplicativo. Conceda permissão de gravação a este usuário no diretório notRestricted
e em nenhum outro lugar. Já que você não se importa se o aplicativo pode ler de qualquer lugar, você não precisa de nada mais sofisticado.
O aplicativo ainda poderá gravar em diretórios graváveis publicamente: /tmp
e /var/tmp
na maioria das configurações. Se isso for um problema, configure uma lista de controle de acesso nesses diretórios e negue permissão de gravação ao aplicativo, por exemplo, no Linux
setfacl -m user:testUser:0 /tmp /var/tmp
Certifique-se de que o usuário não esteja em um grupo que tenha permissão de gravação em algum diretório em que você não queira que o aplicativo grave.