禁止特定使用者組訪問某些程序

我正在嘗試在我的 linux 系統上執行一些安全級別。例如，可以通過將二進製文件的權限限制為 750 來輕鬆地拒絕訪問 ping 命令或磁碟實用程序：

/bin/ping

/usr/bin/gnome-磁碟

並且使用者將無法執行它們。但問題是使用者可以以某種方式從外部獲取相同的二進製文件並將該二進製文件放在它的主文件夾中。因為不能阻止使用者授予自己文件的權限，所以他可以執行二進製文件並避免授予系統文件的權限。

我怎樣才能阻止使用者這樣做？

首先，我們將從 $HOME 中的所有文件中刪除執行位：

chmod a-x $HOME/*

然後我們確保在 home 中創建的任何新文件都沒有設置執行位：

umask 006 $HOME

但是，使用者仍然可以手動將某些內容設置為 +x，以便他們可以自己手動執行它。阻止他們這樣做更複雜，因為您需要擁有他們創建的任何文件的所有權，然後將它們添加到一個組中，該組賦予他們讀/寫訪問權限，但不能更改權限。

引用自：https://unix.stackexchange.com/questions/396023