встановлення відповідних дозволів

Я просто прочитав про налаштування користувальницьких привілеїв для різних типів користувачів. Я хотів би створити сценарій, де користувач може ssh в систему, але може створювати (писати) файли тільки в / tmp. Доступ до запису не повинен бути дозволений ніде. Крім того, він не повинен мати можливість переглядати файли інших користувачів у межах / tmp, не кажучи вже про їх видалення.

Я вважаю, що я можу виконати другу половину завдання, видаливши читання і виконання дозволу / tmp і встановивши липкий біт.

Однак як я можу йти про видалення доступу користувачам для запису з іншої частини системи?

Я хотів би створити сценарій, де користувач може ssh в систему, але може створювати (писати) файли тільки в / tmp. Доступ до запису не повинен бути дозволений ніде.

У стандартній установці Linux користувачі можуть писати тільки на /tmp та їхні домашні каталоги. Таким чином, ви можете досягти цього, зробивши користувача $HOME тільки для читання і володіє коренем.

Крім того, він не повинен мати можливість переглядати файли інших користувачів у межах / tmp, не кажучи вже про їх видалення.

Дайте всім користувачам обмежувальний umask (наприклад, 077 ) через pam_umask, і набір липкий біт /tmp.

Крім того, грайте з pam_namespace - Ви можете надати кожному користувачеві свою /tmp.

Я вважаю, що я можу виконати другу половину завдання, видаливши читання і виконання дозволу / tmp і встановивши липкий біт.

Неправильно. Без дозволів на виконання /tmp, користувач не зможе отримати доступ або створити нічого у цьому каталозі. Без липкого біта, хто може писати /tmp буде видалено будь-які файли.

Однак як я можу йти про видалення доступу користувачам для запису з іншої частини системи?

Вони цього не роблять є доступ до запису за замовчуванням. Див. Верх цієї відповіді.