Я знаю, что это, вероятно, глупый вопрос. Я предполагаю, что многим "другим" (различным процессам) нужен доступ для чтения к /etc и другим каталогам.
Я предоставляю SSH доступ стороннему разработчику и хочу максимально ограничить его только областью /var /www. Я думал об удалении доступа для чтения из /etc, но понял, что это может сломать вещи. Был ли я прав?
Вы не должны возиться с разрешениями системных папок. Доступ к /etc очень важен для многих процессов, некоторые из которых могут не работать от имени пользователя root . Проще говоря: это может быть возможно, но это не стоит хлопот.
Я бы предпочел вместо этого установить тюрьму для chroot .
Тюрьма chroot - это общее выражение, используемое для описания раздела файловой системы, выделенного для конкретного пользователя. На веб-сервере это особенно полезно для безопасности учетных записей общего хостинга.
Таким образом, вы можете "заблокировать" разработчика в /var/www - или даже его подпапке - и позволить ему делать все, что он хочет, даже не видя ни одного каталога "выше" того, в котором он заблокирован.
Построение chroot- jail-ов упрощается с помощью таких утилит, как Jailkit, или объясняется в различных записях блога и инструкциях, как этот: Как создать среду chroot-jail для CentOS
