Ich habe die Aufgabe, einen RedHat Enterprise Linux 5 Gnome-PC so zu konfigurieren, dass ein bestimmter Benutzer - beispielsweise USER1 - sehr eingeschränkten Zugriff auf den Desktop hat. Die Anforderungen umfassen:
Im Grunde sind alle gesperrten PCs mit sehr eingeschränkter Funktionalität für diesen Benutzer verfügbar. Wenn sich ein anderer autorisierter Benutzer oder Root anmeldet, sollten alle üblichen Klingeln wie gewohnt verfügbar sein.
Wir haben dies unter Windows mit Local Security Settings erreicht, aber ich bin nicht sicher, wie das unter Linux gemacht wird.
Ich habe von SELinux gehört und habe versucht, 'SELinux Management Tool' zu verwenden, aber entweder ist es nicht sehr nützlich oder ich weiß nicht, wie ich es richtig verwenden soll.
- Restrict shell access to most of the folders but user's own home folder.
- This user (USER1) should not be able to run any shell commands that will affect any file/folder but their own.
Das Standard-Linux-Berechtigungsschema sollte dies berücksichtigen. Unberechtigte Benutzer können weder etwas ändern, das ihnen nicht gehört, noch auf Ordner zugreifen, in denen wichtige Systeminformationen gespeichert sind.
- Access to all of the desktop menus (Application, Places, System) and icons (Computer, User's Home etc.) must be restricted.
Ändern Sie das Bedienfeld und den Desktop so, dass keine der anstößigen Symbole oder Applets sind verfügbar.
Verwenden Sie gconftool2, um die folgenden Tasten festzulegen (unter apps/panel/global):
disable_force_quit wird verhindert, dass Benutzer ein Panel-Applet zwangsweise schließen können.disable_lock_screen aktivieren, wird verhindert, dass der Benutzer den Bildschirmschoner und das Kennwort zum Schutz des Bildschirms anzeigt.disable_log_out wird verhindert, dass sich der Benutzer vom Computer abmeldet, herunterfährt oder neu startet.locked_down markieren, kann der Benutzer keine Änderungen an den Anzeigen vornehmen.Stellen Sie unter desktop/gnome/lockdown die folgenden Schlüssel ein:
disable_command_line Dies deaktiviert auch den Dialog "Programm ausführen".disable_lock_screen aktivieren, kann der Benutzer den Bildschirm nicht sperren.disable_printing aktivieren, kann der Benutzer keine Dokumente auf einem angeschlossenen Drucker drucken.disable_print_setup aktivieren, wird der Zugriff auf alle Dialogfelder "Druckereinrichtung" verhindert.disable_save_to_disk aktivieren, kann der Benutzer nichts auf der Festplatte speichern.disable_user_switching wird verhindert, dass der Benutzer zu einem anderen Konto wechselt, während die aktuelle Sitzung aktiv ist.Es klingt wie das, wonach Sie wirklich suchen, ein Weg, Gnome dazu zu bringen, sich wie ein Kiosk zu benehmen. Dafür gibt es ein paar Anleitungen:
Zusätzlich zu dem, was hier erwähnt wird, habe ich Folgendes gefunden:
Das RedHat-Implementierungshandbuch auf Seite 10 erklärt fast genau, was ich tun möchte. Diese Seite erklärt auch ein wenig.
Ich denke, chrooting könnte ein Anfang sein, Sie beschränken den Benutzer auf seinen eigenen Ordner und sperren ihn dort ein, er kann nicht einfach woanders hingehen, also kann er nur seine eigenen Dateien bearbeiten. Es gibt hier einen sehr schönen Leitfaden: http://www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html