Restringir o acesso do usuário no Linux

Navegue suas respostas
2

Eu recebo uma tarefa para configurar um PC RedHat Enterprise Linux 5 Gnome de forma que um usuário específico - digamos, USER1 terá acesso muito limitado a desktops. Os requisitos incluem:

  1. O acesso a todos os menus da área de trabalho (Aplicativos, Locais, Sistema) e ícones (Computador, Página inicial do usuário, etc.) deve ser restrito.
  2. Restringir o acesso ao shell à maioria das pastas, mas à própria pasta pessoal do usuário.
  3. Esse usuário (USER1) deve ter apenas alguns ícones / atalhos pré-configurados em sua área de trabalho e isso é tudo o que ele deve executar / clicar duas vezes.
  4. Este usuário (USER1) não deve poder executar comandos de shell que afetarão qualquer arquivo / pasta, exceto os deles.

Basicamente, é tudo PC bloqueado com funcionalidades muito limitadas disponíveis para este usuário em particular. Se outro usuário ou root autorizado fizer login, todos os sinos e assobios devem estar disponíveis normalmente.

Conseguimos isso no Windows usando Configurações locais de segurança , mas não tenho certeza de como fazer isso no Linux.

Já ouvi falar do SELinux e tentei usar o 'SELinux Management Tool', mas ele não é muito útil ou não sei como usá-lo corretamente.

    
por silverspoon 20.07.2011 / 05:23

3 respostas

0

Além do que o kce mencionado aqui é o que eu encontrei:

Guia de Implantação do RedHat na Página 10 em diante explica quase exatamente o que eu quero façam. Esta página também explica um pouco.

    
por 21.07.2011 / 02:29
6
  • Restrict shell access to most of the folders but user's own home folder.
  • This user (USER1) should not be able to run any shell commands that will affect any file/folder but their own.

O esquema padrão de permissões do Linux deve considerar isso. Usuários desprivilegiados não podem modificar nada que não pertença a eles, nem acesso a pastas onde informações importantes do sistema são armazenadas.

  • Access to all of the desktop menus (Application, Places, System) and icons (Computer, User's Home etc.) must be restricted.

  1. Modifique o painel e a área de trabalho para que nenhum dos ícones ou os applets estão disponíveis.

  2. Use gconftool2 para definir as seguintes chaves (em apps / panel / global):

    • A verificação de disable_force_quit impedirá que os usuários abram um applet de painel à força.
    • A verificação de disable_lock_screen impedirá que o usuário exiba a proteção de tela e a senha que protegem a tela.
    • A verificação de disable_log_out impedirá que o usuário efetue logoff, desligue ou reinicie o computador.
    • A verificação de locked_down impedirá que o usuário faça alterações nos painéis.

  3. Defina as seguintes chaves em desktop / gnome / lockdown:

    • Verificando disable_command_line Isso também desativa a caixa de diálogo "Executar programa".
    • A verificação de disable_lock_screen impedirá que o usuário bloqueie a tela.
    • A verificação de disable_printing impedirá que o usuário imprima coisas em uma impressora conectada.
    • A verificação de disable_print_setup impedirá o acesso a todas as caixas de diálogo "Configuração de impressão".
    • A verificação de disable_save_to_disk impedirá que o usuário salve qualquer coisa no disco rígido.
    • A verificação de disable_user_switching impedirá que o usuário mude para outra conta enquanto a sessão atual estiver ativa.
  4. Você desejará tornar essas configurações obrigatórias (caso contrário, um usuário experiente poderá simplesmente desfazê-las). Consulte o Guia de implantação do Gnome para obter mais informações.

Parece que o que você realmente está procurando é uma maneira de fazer o Gnome se comportar como um quiosque. Existem alguns guias para isso:

por 20.07.2011 / 17:40
0

Eu acho que o chrooting pode ser um começo, você restringe o usuário à sua própria pasta e o prende lá, ele não pode simplesmente ir a outro lugar, então ele só pode editar seus próprios arquivos. Existe um guia muito bom aqui: link

    
por 20.07.2011 / 17:36

Tags

Erro no MySQL durante um grande upload de dados WDS ou MDT para o Windows 7 Deployment?