Для некоторых пользователей «bob» в Linux возможно ограничить исполняемый файл «bob» только определенными путями.
В качестве примера предположим, что у 'bob' есть домашний каталог /home /bob
'bob' не должен быть способен читать / писать / выполнять (с нулевыми правами) что-либо выше / home / bob.
/bin, /lib, /usr /bin, /usr /lib, /usr /local /bin, /usr /local /lib и т. д. явно заданы соответствующие параметры rx - так что 'bob' может выполнять вещи из этих путей, но не пиши им.
У 'bob' есть права rwx на собственный каталог (/home/bob), но есть возможность запретить bob выполнять вещи из его собственного каталога по умолчанию, а затем разрешить некоторые вещи (программы запуска, сценарии и т. д.) выборочно выполняться с помощью 'bob '
пожалуйста, обратите внимание - 'bob' может скомпилировать собственный материал в /home /bob и запустить его (это должно быть предотвращено). Также 'bob' всегда может использовать chmod, chgrp и т.д. Для файлов, принадлежащих ему самому. Что необходимо, так это предотвращение выполнения - даже для собственных файлов.