GNU less — модный пейджер. Установить переменную окружения МЕНЬШЕ БЕЗОПАСНОСТИ=1 чтобы отключить некоторые функции, такие как запуск ! команды оболочки. Видеть человек меньше, раздел безопасности.
Ограничение выполнения программ на основе правил и блокировка других вещей называется списком разрешений. Подмножество предотвращение казни смягчения последствий
Приложение может быть ограничено chroot или контейнером с определенным минимальным набором программного обеспечения. Однако это, вероятно, не подходит для вашего примера программы анализа журнала, где это не единственное, что происходит на хосте.
Свободная реализация блокировки приложений была бы фаполицид. Например, Red Hat взялась за это. В этом случае у вас может быть:
разрешить perm=execute uid=logviewer : path=/usr/bin/less
разрешить perm=execute uid=logviewer : path=/usr/bin/tail
разрешить perm=execute uid=logviewer : path=/usr/bin/cat
разрешить perm=execute uid=logviewer : path=/sbin/nologin
deny_audit perm=execute uid=logviewer: все
Или selinux существует как другой метод управления доступом, который позволяет настраивать политику.
Хотя строгая политика выполнения в отношении этого пользователя может иметь для вас значение только в том случае, если существует вероятность того, что он может выполнять другие команды. С менее защищенным, без учетных данных для учетной записи службы и разрешенными командами в пользовательской политике переключения (sudo, polkit, doas) запуск произвольных команд становится нетривиальным.
Есть способы избежать необходимости просмотра журнала на хосте. Рассмотрите возможность централизованного ведения журнала с помощью некоторого приложения для анализа и отображения событий журнала.
