在标准 Linux 权限不足时限制对文件的访问

我管理多个 RHEL 6.9 系统。在每个系统上，一个名为/app_dir的特定目录是我们项目的脚本、可执行文件、配置文件和日志存储的顶级目录。这个顶级目录下的树是广泛而深入的。/app_dir下的所有文件和子目录都归用户user1所有，并且具有group1的组成员身份。人类用户始终以user1身份运行，并且user1的主要组是group1。

有些系统供制造团队成员在交付给客户之前测试我们生产的硬件小部件，有些系统用于开发用于测试硬件小部件的软件。

所有人类用户都以user1身份登录到 GNOME 桌面。然后通过打开终端并从命令行启动应用程序来运行我们的主 (GUI) 应用程序。

制造系统需要保持原始状态。但是，由于各种原因，开发人员会更改脚本或配置文件以在制造系统上测试某些内容，而忘记恢复更改。一个经典的问题。

然后，当生产团队成员使用该系统时，它要么根本不工作，它会给出一个错误的通过（这是最坏的情况，因为它会导致我们交付一个有故障的硬件小部件），或者它会给出一个错误的失败（由于没有交付实际上适合交付的硬件小部件而导致收入损失）。

所以，我需要找到一种方法来锁定（即可读但不可写）我们目录结构中的脚本和配置文件，这样，除了少数明确定义的例外，它们不能被更改，除非由具有特权。标准的 Linux 权限是不够的，因为根据本文第一段中的描述，它们允许任何人类用户（始终以user1身份运行）随意更改任何文件。

在我们生命周期的这一点上，不幸的是，我们没有在目录结构、用户、组等方面进行太多更改的灵活性。

我在想 SELinux 会提供一个解决方案。

实际情况要复杂得多，但作为一个例子，考虑这个目录结构：

/app_dir/bin/
/app_dir/bin/widget_tester
/app/dir/bin/<other executables>

/app_dir/config/
/app_dir/config/widget_info.txt
/app_dir/config/test_tolerances.txt
/app_dir/config/<other configuration files>

/app_dir/scripts/
/app_dir/scripts/script_1.py
/app_dir/scripts/script_2.sh
/app_dir/scripts/<other scripts>

/app_dir/logs/
/app_dir/logs/<log files>

/app_dir/bin/及其下的所有内容都应该被锁定，没有例外。

/app_dir/config/及其下的所有内容都应锁定，但widget_info.txt 除外。制造团队成员需要能够提供有关即将测试的硬件小部件的信息。

/app_dir/scripts/及其下的所有内容都应锁定，但script_1.py 除外。

/app_dir/logs/以及它下面的所有内容都应该可以由我们的可执行文件和脚本写入，但对于人类（即user1）来说，它应该只能是可读的。

SELinux 是适合这项工作的工具吗？如果是这样，类型/类型强制是使用的机制吗？如果两者都没有，我还能把学习精力集中在哪里？

更新 1

请注意，我所描述的让所有人以user1身份运行的设置比我到达该项目早了几年。我知道它有它的缺点（但实际上有正当的理由我不需要在这里讨论）。这是一个真实的制造操作。从业务角度来看，我们的设置重组是完全不可行的。管理层不允许。

我指出这一点是为了强调我并不是要求对我们当前的设置进行批评。我试图从比我更了解 SELinux 的社区专家那里找出我是否通过努力学习 SELinux 来找出正确或错误的树。我还请求指向我可能不知道的其他 Linux 机制的指针，这可能会解决这个问题。（即，虽然我目前的重点是 SELinux，但我不想将讨论限制在 SELinux 上。）