fragen stichworte

Beschränken Sie den Benutzerzugriff in Linux

Ich habe die Aufgabe, einen RedHat Enterprise Linux 5 Gnome-PC so zu konfigurieren, dass ein bestimmter Benutzer - beispielsweise USER1 - sehr eingeschränkten Zugriff auf den Desktop hat. Die Anforderungen umfassen:

  1. Der Zugriff auf alle Desktop-Menüs (Anwendung, Orte, System) und Symbole (Computer, Startseite des Benutzers usw.) muss eingeschränkt sein.
  2. Beschränken Sie den Shell-Zugriff auf die meisten Ordner, jedoch nicht auf den eigenen Benutzerordner des Benutzers.
  3. Dieser Benutzer (USER1) sollte nur wenige vorkonfigurierte Symbole/Verknüpfungen auf dem Desktop haben, und das ist alles, was er/sie ausführen/doppelklicken kann.
  4. Dieser Benutzer (USER1) sollte keine Shell-Befehle ausführen können, die sich auf andere Dateien/Ordner als auf ihre eigenen auswirken.

Im Grunde sind alle gesperrten PCs mit sehr eingeschränkter Funktionalität für diesen Benutzer verfügbar. Wenn sich ein anderer autorisierter Benutzer oder Root anmeldet, sollten alle üblichen Klingeln wie gewohnt verfügbar sein.

Wir haben dies unter Windows mit Local Security Settings erreicht, aber ich bin nicht sicher, wie das unter Linux gemacht wird.

Ich habe von SELinux gehört und habe versucht, 'SELinux Management Tool' zu verwenden, aber entweder ist es nicht sehr nützlich oder ich weiß nicht, wie ich es richtig verwenden soll.

antworten

  • Restrict shell access to most of the folders but user's own home folder.
  • This user (USER1) should not be able to run any shell commands that will affect any file/folder but their own.

Das Standard-Linux-Berechtigungsschema sollte dies berücksichtigen. Unberechtigte Benutzer können weder etwas ändern, das ihnen nicht gehört, noch auf Ordner zugreifen, in denen wichtige Systeminformationen gespeichert sind.

  • Access to all of the desktop menus (Application, Places, System) and icons (Computer, User's Home etc.) must be restricted.
  1. Ändern Sie das Bedienfeld und den Desktop so, dass keine der anstößigen Symbole oder Applets sind verfügbar.

  2. Verwenden Sie gconftool2, um die folgenden Tasten festzulegen (unter apps/panel/global):

    • Durch Aktivieren von disable_force_quit wird verhindert, dass Benutzer ein Panel-Applet zwangsweise schließen können.
    • Wenn Sie disable_lock_screen aktivieren, wird verhindert, dass der Benutzer den Bildschirmschoner und das Kennwort zum Schutz des Bildschirms anzeigt.
    • Durch Aktivieren von disable_log_out wird verhindert, dass sich der Benutzer vom Computer abmeldet, herunterfährt oder neu startet.
    • Wenn Sie locked_down markieren, kann der Benutzer keine Änderungen an den Anzeigen vornehmen.
  3. Stellen Sie unter desktop/gnome/lockdown die folgenden Schlüssel ein:

    • Prüfen von disable_command_line Dies deaktiviert auch den Dialog "Programm ausführen".
    • Wenn Sie disable_lock_screen aktivieren, kann der Benutzer den Bildschirm nicht sperren.
    • Wenn Sie disable_printing aktivieren, kann der Benutzer keine Dokumente auf einem angeschlossenen Drucker drucken.
    • Wenn Sie disable_print_setup aktivieren, wird der Zugriff auf alle Dialogfelder "Druckereinrichtung" verhindert.
    • Wenn Sie disable_save_to_disk aktivieren, kann der Benutzer nichts auf der Festplatte speichern.
    • Durch Aktivieren von disable_user_switching wird verhindert, dass der Benutzer zu einem anderen Konto wechselt, während die aktuelle Sitzung aktiv ist.
  4. Sie müssen diese Einstellungen obligatorisch machen (andernfalls können sie von einem sachkundigen Benutzer einfach deaktiviert werden). Weitere Informationen finden Sie im Gnome-Bereitstellungshandbuch.

Es klingt wie das, wonach Sie wirklich suchen, ein Weg, Gnome dazu zu bringen, sich wie ein Kiosk zu benehmen. Dafür gibt es ein paar Anleitungen:

Zusätzlich zu dem, was hier erwähnt wird, habe ich Folgendes gefunden:

Das RedHat-Implementierungshandbuch auf Seite 10 erklärt fast genau, was ich tun möchte. Diese Seite erklärt auch ein wenig.

Ich denke, chrooting könnte ein Anfang sein, Sie beschränken den Benutzer auf seinen eigenen Ordner und sperren ihn dort ein, er kann nicht einfach woanders hingehen, also kann er nur seine eigenen Dateien bearbeiten. Es gibt hier einen sehr schönen Leitfaden: http://www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html