Назад | Перейти на главную страницу

Ограничить доступ пользователей в Linux

Мне дали задание настроить компьютер RedHat Enterprise Linux 5 Gnome так, чтобы конкретный пользователь, скажем, USER1, имел очень ограниченный доступ к рабочему столу. Требования включают:

  1. Доступ ко всем меню рабочего стола (Приложение, Места, Система) и значкам (Компьютер, Дом пользователя и т. Д.) Должен быть ограничен.
  2. Ограничьте доступ оболочки к большинству папок, кроме собственной домашней папки пользователя.
  3. У этого пользователя (USER1) должно быть только несколько предварительно настроенных значков / ярлыков на рабочем столе, и это все, что он / она должен иметь возможность запускать / дважды щелкать.
  4. Этот пользователь (USER1) не должен иметь возможность запускать какие-либо команды оболочки, которые влияют на любой файл / папку, кроме их собственных.

По сути, это все заблокированные ПК с очень ограниченной функциональностью, доступной этому конкретному пользователю. Если в систему входит другой авторизованный пользователь или root - тогда все обычные навороты должны быть доступны как обычно.

Мы достигли этого в Windows, используя Настройки локальной безопасности но я не уверен, как это сделать в Linux.

Я слышал о SELinux и пробовал использовать «Инструмент управления SELinux», но либо он не очень полезен, либо я не знаю, как его правильно использовать.

  • Ограничьте доступ оболочки к большинству папок, кроме собственной домашней папки пользователя.
  • Этот пользователь (USER1) не должен иметь возможность запускать какие-либо команды оболочки, которые будут влиять на любой файл / папку, кроме их собственных.

Стандартная схема разрешений Linux должна учитывать это. Непривилегированные пользователи не могут изменять ничего, что им не принадлежит, или получать доступ к папкам, в которых хранится важная системная информация.

  • Доступ ко всем меню рабочего стола (Приложение, Места, Система) и значкам (Компьютер, Дом пользователя и т. Д.) Должен быть ограничен.
  1. Измените панель и рабочий стол так, чтобы не было доступных значков или апплетов.

  2. Использовать gconftool2 чтобы установить следующие ключи (в apps / panel / global):

    • Проверка disable_force_quit не позволит пользователям принудительно закрыть апплет панели.
    • Проверка disable_lock_screen запретит пользователю отображать заставку и пароль, защищающий экран.
    • Проверка disable_log_out предотвратит выход пользователя из системы, выключение или перезагрузку компьютера.
    • Проверка locked_down запретит пользователю вносить какие-либо изменения в панели.
  3. Установите следующие ключи в разделе desktop / gnome / lockdown:

    • Проверка disable_command_line Это также отключит диалоговое окно «Выполнить программу».
    • Проверка disable_lock_screen предотвратит блокировку экрана пользователем.
    • Проверка disable_printing запретит пользователю печатать что-либо на подключенном принтере.
    • Проверка disable_print_setup предотвратит доступ ко всем диалоговым окнам «Настройка печати».
    • Проверка disable_save_to_disk предотвратит сохранение пользователем чего-либо на жесткий диск.
    • Проверка disable_user_switching предотвратит переключение пользователя на другую учетную запись, пока активен текущий сеанс.
  4. Вы захотите сделать эти настройки обязательными (в противном случае опытный пользователь может просто отменить их). Увидеть Руководство по развертыванию Gnome Чтобы получить больше информации.

Это похоже на то, что ты действительно Искать - это способ заставить Gnome вести себя как киоск. Для этого есть несколько руководств:

В дополнение к тому, что упомянул kce, вот что я нашел:

Руководство по развертыванию RedHat на странице 10 и далее почти точно объясняет, чем я хочу заниматься. это страница также немного объясняет.

Я думаю, что для начала можно использовать chroot: вы ограничиваете пользователя его собственной домашней папкой и заключаете его в тюрьму, он не может просто пойти куда-то еще, поэтому он может редактировать только свои собственные файлы. Здесь есть очень хорошее руководство: http://www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html