我们的应用是从SU或普通用户运行的.我们有一个图书馆已连接到我们的项目.在该库中,有一个我们要调用的函数.在运行应用程序的目录中,我们有一个名为notRestricted的文件夹.我们创建了一个新线程.我们想限制线程对文件系统的访问.我们想要做的很简单-调用该函数,但将其访问权限限制为仅写入该文件夹(我们更喜欢让它从应用可以读取的任何地方读取).

更新：
所以我看到没有办法只禁用一个文件夹中所有文件夹中的一个线程…

我读过您的建议,亲爱的用户,并发布了一些analog to this question here,所以在那里我们给我们提供了指向sandbox和not a bad api的链接,但是我真的不知道它是否适用于GentOS(但是这种脚本看起来很有趣)使用Boost.Process command line来运行它,然后运行所需的ex-thread(已迁移到单独的application =)的情况.

解决方法:

实际上,没有任何方法可以阻止单个线程,因为它与您所在的进程空间相同,除了诸如函数挂钩之类的黑客方法可以检测任何类型的文件系统访问.

也许您可能想重新考虑如何实现应用程序-以su身份运行本机不受信任的代码并不是一个好主意.也许使用另一个过程并通过进行通信. RPC,或使用您可以在运行时检查的解释语言.