Могу ли я ограничить пользователя в использовании специальных программ?

14

Можно ли добавить пользователя и ограничить его запуск специальных программ?
Например, после входа этого пользователя он может открыть только Firefox для использования Интернета, и другие пользователи не могут запускать другие программы.
Например, в терминале команды не будут доступны при удалении некоторых переменных среды, таких как $ HOME.
Но возможно ли избежать запуска программ в графической оболочке, такой как Gnome? Если да, то как?

M0εiπ
источник
4
Обычно это упоминается как, kiosk modeно я не уверен в состоянии в gnome 3. См. Tranzistors.wordpress.com/2012/05/23/… для получения дополнительной информации. Согласно fedoraproject.org/wiki/Features/InitialExperience gnome-shell имеет своего рода режим киоска
Ульрих Дангел

Ответы:

4

Вы можете удалить разрешения на выполнение для двоичных файлов, которые пользователь не хочет запускать. Создайте новую группу, измените разрешения на выполнение ( chmod go-rwx) и добавьте нужного пользователя в группу. (Это похоже на то, как только определенным пользователям разрешено использовать sudoкоманду.)

В зависимости от того, чего вы хотите достичь, chroot jail также может быть полезен. Если вы планируете настроить киоск, есть инструменты блокировки как для KDE (Kiosk Tool), так и для GNOME (Sabayon). Если Firefox - это все, что вы хотите разрешить, проверьте Webconverger. Если вы планируете настроить сеть киосков, Google Libki. Если безопасность имеет первостепенное значение, вы также можете улучшить возможности отдельных программ, используя AppArmor или SELinux.

utcursch
источник
Я не добавляю это как ответ, потому что я не пробовал это долгое время, но вы можете изменить оболочку входа пользователя (я думаю, в / etc / passwd), чтобы она запускала произвольную команду или скрипт вместо значения по умолчанию это позволяет им полный нормальный пользовательский доступ. Вам просто нужно протестировать свою команду / скрипт, чтобы убедиться, что пользователь не сможет выйти из нее.
Джо
«Вы можете удалить разрешения на выполнение для двоичных файлов, которые вы не хотите, чтобы пользователь запускал». <- а как насчет других пользователей ???
Конрад Гаевский