К машине имеют доступ несколько человек, для них нужно ограничение на запуск программ.

Решение, создать несколько групп. Программам, через chgrp установить соответсвующую группу которым разрешен запуск, а всем остальным запретить.
*******
Например, группа, которой разрешено пользоваться trackerd
groupadd tracker
usermod -a -G tracker user1
chgrp tracker /usr/libexec/trackerd
chmod o-x /usr/libexec/trackerd
другой способ выставить posix acl.
*******
Но проблемма в том, что каждый раз при обновлении права на файл сбрасываются, на те что идут в пакете.

Как лучше принудительно при обновлении устанавливать соответствущие права?

1. написать скрипт который вызывает программу обновления, а затем вызывает скрипт проверки прав
2. задействовать чтото типа cfengine
3. или есть наиболее стандартный метод, который я просто не углядел

Требуется решение для дистров основанных и на rpm, и на deb.
И было круто если бы
rpm -V tracker
не ругался бы после этого:
.M....G..    /usr/libexec/trackerd

PS tracker выбран только в качестве примера

• права доступа и обновление,PavelR, 17:46 , 23-Июн-09
  • права доступа и обновление,автор темы, 18:26 , 23-Июн-09
• права доступа и обновление,reader, 18:04 , 23-Июн-09
  • права доступа и обновление,автор темы, 18:40 , 23-Июн-09
    • права доступа и обновление,reader, 20:41 , 23-Июн-09

>[оверквотинг удален]
>2. задействовать чтото типа cfengine
>3. или есть наиболее стандартный метод, который я просто не углядел
>
>Требуется решение для дистров основанных и на rpm, и на deb.
>И было круто если бы
>rpm -V tracker
>не ругался бы после этого:
>.M....G..    /usr/libexec/trackerd
>
>PS tracker выбран только в качестве примера

мысли на тему "а что будет, если юзер зальет свой бинарник (или скомпилит его сам)"  вас еще не посещали ?

>мысли на тему "а что будет, если юзер зальет свой бинарник (или
>скомпилит его сам)"  вас еще не посещали ?

Не проблема запретить подобные действия относительно бинарников в хомяке или tmpfs, можете не волноваться.

хомяк смонтирован с за запретом на исполнение бинарников

для тех кому все же можно компилить и запускать есть отдельный раздел для девелоперов.

И все же
С chroot много возни, так как это сервер терминалов на freenx и юзеров достаточно много.

Меня больше волнует чтобы не запускали проги, которые начнут сильно мучить винт например и жрать ресурсы (которые разумеется можно ограничить разумеется через ulimit, а диск через квоты, не вопрос)

Но вот например tracker сильно мучает винты, в результате например проблемы по iowait. Тем более если его пустят сразу куча пользователей, на ветвистых и часто изменяющихся директориях.
Однако ж, парочке пользователям он таки нужен.
Совсем запрещать eclipse или openoffice не нужно, но они не нужны всем, только некоторым. Зачем им давать возможность по глупости запускать приложения, которые упрут их в потолок ограничений?

Так что вопрос все еще в силе, какой наиболее прямой и элегантный способ, облегчить себе жизнь.

может через sudo

>может через sudo

нет это ж не то

sudo средство запуска программ от имени другого пользователя, не вводя пароль того пользователя от кого хочешь запустить. Вводя либо свой, либо не вводя вообще.

Как это может помочь, я не понял.

>>может через sudo
>
>нет это ж не то
>
>sudo средство запуска программ от имени другого пользователя, не вводя пароль того
>пользователя от кого хочешь запустить. Вводя либо свой, либо не вводя
>вообще.
>
>Как это может помочь, я не понял.

а так же можно указать кому и что именно можно запускать

в итоге права на файл останутся (это к rpm -V), ну а то что явно не разрешено запускать, будут пытаться запускать по другому, но от этого и ваш метод не спасет.