Разрешение / запрет приложений на пользователя linux

364
rvcabc

Есть ли способ, долго, если это необходимо, иметь белый список на linux mint для одной или нескольких групп / пользователей приложений, чтобы их можно было открыть? Пример: Пользователь 1 и Пользователь 2 могут открывать только Firefox, тогда как Пользователь 3 может открывать Firefox и libre office. Все остальное доступно только для всех пользователей, кроме Пользователя 4, который может открывать и делать все, что захочет.

0

2 ответа на вопрос

1
Kamil Maciorowski

Классический способ управления тем, кто может запустить данный исполняемый файл, fooвыглядит следующим образом:

  1. С исполняемым файлом chownmake fooпринадлежат fooгруппе.
  2. С chmodустановленными разрешениями, так что только владелец и группа могут выполнять файл.
  3. Назначьте пользователей в группы, как вы хотите.

Это не очень хорошее решение, если вам нужно сделать это для многих (всех?) Исполняемых файлов в вашей системе. Если вы хотите ограничить данного пользователя узким набором возможных команд, вам следует изучить тему ограниченной оболочки .

Я нашел BDSH . Выглядит многообещающе (хотя я никогда не использовал это сам):

bdsh - это оболочка, в которой вы вносите команды в белый список, и только эти команды могут быть выполнены.

Некоторые другие (более новые?) Подобные решения могут существовать.

РЕДАКТИРОВАТЬ: также читайте Как ограничить пользовательские команды в Linux на переполнение стека.

Это позволило бы им открыть только Firefox? Я понимаю chmod, но chown немного сбивает меня с толку. rvcabc 6 лет назад 0
Сожалею. Я работаю над этим в течение нескольких месяцев, и слова запутываются в моей голове. Мне нужно создать учетную запись, которая может получить доступ только к определенной программе. Все остальное нужно заблокировать. Я создаю небольшую школьную систему на моей работе. Мне нужен каждый компьютер для подключения к контроллеру постоянного тока, однако я не хочу, чтобы они обходили его, просто используя программы на компьютере с Linux. Если это имеет смысл rvcabc 6 лет назад 0
@rvcabc Что вы имеете в виду: "DC"? Я хочу быть уверен, что здесь нет [проблемы XY] (https://meta.stackexchange.com/a/66378/355310). Kamil Maciorowski 6 лет назад 0
Это звучит примерно так. Под DC я имею ввиду контроллер домена. rvcabc 6 лет назад 0
@rvcabc Ну, мой ответ может быть не самым лучшим. Я думаю, что вы должны отредактировать свой вопрос и разместить все эти объяснения там. Они действительно помогли мне лучше понять вашу проблему. Другие пользователи должны видеть их в теле вопроса, они не будут читать все комментарии. После этого вы можете удалить свои комментарии здесь. Kamil Maciorowski 6 лет назад 0
@rvcabc Я добавил ссылку на другой вопрос, зацените. Kamil Maciorowski 6 лет назад 0
0
xenoid

Не проверено, но возможное решение:

  1. удалите бит «исполняемый» для обычных пользователей в / usr / bin (и, возможно, некоторых других) (это мешает им читать что-либо в / usr / bin)
  2. создайте каталог с жесткими ссылками на авторизованные приложения в / usr / bin
  3. установить свой путь, чтобы указать на него

Похожие вопросы