Как я могу создать пользователя с доступом только для чтения ко всем файлам? (т.е. корень, не пишущий полномочия)

Вы могли достигнуть этого с ACLs. Вам все еще был бы нужен сценарий, работающий как корень, который изменяет полномочия каждого файла. См. страницы справочника для ACL, setfacl и getfacl, если Вам интересно.

Существует несколько другой способ создать это, не используя ACL. Но необходимо практиковать осторожность здесь. Во-первых, создайте группу, например, названный roroot (корень только для чтения). Затем примените тот идентификатор группы ко всем каталогам. Сделайте полномочия для битов группы, чтобы быть r - или 400 восьмеричных, затем можно создать учетную запись пользователя точно так же, как обычный пользователь, например, rorootusr, со следующим идентификационным набором к тому, что это находится в системе, сделайте это членом группы roroot только, не добирайтесь быть частью колеса, мусорного ведра, и т.д., в зависимости от того, что группы находятся на установке. Следующий бит будет топорным. Откройте/etc/passwd файл с помощью vim/nano/emacs/joe/независимо от того, что редактор качает лодку, и ищите идентификатор, который Вы только что создали, т.е. rorootusr, passwd файл будет похож на это

root:x:0:0::/root:/bin/sh

Чтение слева направо разделенного двоеточиями у Вас есть имя пользователя, пароль (зашифрованный + затененный), идентификатор пользователя, идентификатор группы, комментарий, корневой каталог и оболочка. От вышеупомянутого данного примера

rorootusr:x:512:450:Root User RO:/home/rorootusr:/bin/bash

Это - 3-е поле (512), что Вы изменяете его на 0. 450 был бы идентификатор группы для roroot. Сохраните сеанс редактирования, и Вы сделаны. Теперь rorootusr будет иметь корневой доступ, но является только членом группы roroot и имеет доступ только для чтения к системе.

Надежда это помогает, С наилучшими пожеланиями, Tom.