Hi!
- Er darf kein Programm starten (also auch nicht rm, cp, etc.) - Er darf nur genau "dieses" Programm starten.
also, mit dem "standardlinux" ist IMHO alles andere als einfach, da programme meist für alle ausführbar sind (auch für nobodoy/nogroup). du wirst also auf jedem fall auf allen laufwerken mit ACLs arbeiten müssen. dann legst du einen benutzer an mit einer eigenen gruppe (z.B. 65530 uid, 65530 gid) und setzt für diese gruppe und benutzer alle dateien auf nicht ausführbar. dann sollte das gehen. ich würde mir aber bei restriktiven benutzer gedanken machen über das wie, da ja auch z.B. die bash aufgerufen werden muss (oder eine andere shell), das home verzeichnis, ein paar systemtools etc. einfacher ist es normalerweise einfach die loginshell mit dem auszuführenden programm zu vertauschen (z.B. einen passwortdialog statt der bash für mail only benutzer). ciao T