Возможно ли в debian настроить права для какого-то конкретного юзера так, чтобы он не имел доступа к сети, а также читать и изменять файлы? Но тем не менее нужно из под этого юзера запускать php скрипты(причем с другими настройками ini), а также запускать cpp программы с помощью gcc. И из php скриптов и cpp программ также должен отсутствовать доступ к файловой системе и сети. 

Это все для того, чтобы была возможность дать посторонним пользователям запускать свои программы, но тем не менее чтобы они не могли поломать сервер(да и вообще произвести какие-либо с ним действия) и пролезть через них в сеть. 

В итоге по безопасности желательно реализовать что-то по типу ideone.com , хотя конечные цели совсем другие, чем у этого проекта.
На сервере будет также работать основной сайт на php со своими настройками.
Какая примерно должна быть структура для реализации подобного?

Sudo?

как то стремно все это.
есть контроль такого уровня в selinux/apparmor, но отработка политики этих струментов - нудно дело, требующее много времени допилки.




Это сообщение отредактировал(а) bilbobagginz - 11.7.2013, 05:28