Мне дали задание настроить компьютер RedHat Enterprise Linux 5 Gnome так, чтобы конкретный пользователь, скажем, USER1, имел очень ограниченный доступ к рабочему столу. Требования включают:
По сути, это все заблокированные ПК с очень ограниченной функциональностью, доступной этому конкретному пользователю. Если в систему входит другой авторизованный пользователь или root - тогда все обычные навороты должны быть доступны как обычно.
Мы достигли этого в Windows, используя Настройки локальной безопасности но я не уверен, как это сделать в Linux.
Я слышал о SELinux и пробовал использовать «Инструмент управления SELinux», но либо он не очень полезен, либо я не знаю, как его правильно использовать.
- Ограничьте доступ оболочки к большинству папок, кроме собственной домашней папки пользователя.
- Этот пользователь (USER1) не должен иметь возможность запускать какие-либо команды оболочки, которые будут влиять на любой файл / папку, кроме их собственных.
Стандартная схема разрешений Linux должна учитывать это. Непривилегированные пользователи не могут изменять ничего, что им не принадлежит, или получать доступ к папкам, в которых хранится важная системная информация.
- Доступ ко всем меню рабочего стола (Приложение, Места, Система) и значкам (Компьютер, Дом пользователя и т. Д.) Должен быть ограничен.
Измените панель и рабочий стол так, чтобы не было доступных значков или апплетов.
Использовать gconftool2 чтобы установить следующие ключи (в apps / panel / global):
disable_force_quit
не позволит пользователям принудительно закрыть апплет панели.disable_lock_screen
запретит пользователю отображать заставку и пароль, защищающий экран.disable_log_out
предотвратит выход пользователя из системы, выключение или перезагрузку компьютера.locked_down
запретит пользователю вносить какие-либо изменения в панели.Установите следующие ключи в разделе desktop / gnome / lockdown:
disable_command_line
Это также отключит диалоговое окно «Выполнить программу».disable_lock_screen
предотвратит блокировку экрана пользователем.disable_printing
запретит пользователю печатать что-либо на подключенном принтере.disable_print_setup
предотвратит доступ ко всем диалоговым окнам «Настройка печати».disable_save_to_disk
предотвратит сохранение пользователем чего-либо на жесткий диск.disable_user_switching
предотвратит переключение пользователя на другую учетную запись, пока активен текущий сеанс.Это похоже на то, что ты действительно Искать - это способ заставить Gnome вести себя как киоск. Для этого есть несколько руководств:
В дополнение к тому, что упомянул kce, вот что я нашел:
Руководство по развертыванию RedHat на странице 10 и далее почти точно объясняет, чем я хочу заниматься. это страница также немного объясняет.
Я думаю, что для начала можно использовать chroot: вы ограничиваете пользователя его собственной домашней папкой и заключаете его в тюрьму, он не может просто пойти куда-то еще, поэтому он может редактировать только свои собственные файлы. Здесь есть очень хорошее руководство: http://www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html