λογιαριασμος χρηστη με παραμετρους

[rearshooter]

θελω να δημιουργησω εναν λογιαριασμο χρηστη ο οποιος δεν θα μπορει να βαλει και να βγαλει τιποτα στο λειτουργικο(εφαρμογες,ρυθμισεις) και να μπορει να εκκινει συγκεκριμενες εφαρμογες πχ μονο iceweasel και οχι chromium

 

επισης θελω το bios να κλειδωσει με κωδικο

 

περιμενω τις ιδεες σας

[nske]

οποιος δεν θα μπορει να βαλει και να βγαλει τιποτα στο λειτουργικο(εφαρμογες,ρυθμισεις)

Αυτό που λες ισχύει ούτως ή άλλως by default στις περισσότερες διανομές. Σε διανομές που χρησιμοποιούν το sudo για την προσωρινή παραχώρηση δικαιωμάτων διαχείρισης, μπορείς να αποκλείσεις ή επιτρέψεις έναν χρήστη τροποποιώντας το αρχείο /etc/sudoers (man 5 sudoers).

 

Να μπορει να εκκινει συγκεκριμενες εφαρμογες πχ μονο iceweasel και οχι chromium

Το να μη μπορεί να αντιγράψει και εκτελέσει γενικότερα οποιοδήποτε δικό εκτελέσιμο πέρα από αυτά που θα του ορίσεις, θέλει λίγη σκέψη.

 

Μερικές ιδέες:

 

1. οποιοσδήποτε κατάλογος στον οποίο θα έχει δικαιώματα εγγραφής να βρίσκεται σε κάποιο filesystem το οποίο θα έχει γίνει mount με το "noexec" option.
    
   
2. να χρησιμοποιήσεις Linux ACL ή απλά permissions (με προσοχή) για να περιορίσεις την πρόσβαση του χρήστη μόνο σε αυτά που θέλεις.
    
   
3. να χρησιμοποιήσεις το bash σε restricted mode και να ορίσεις στον χρήστη μία $PATH μόνο με αυτά που θέλεις.

 

Όμως, ακόμη και οι εφαρμογές που θα επιτρέπεις, μπορεί να δώσουν τη δυνατότητα στο χρήστη να εκτελέσει ανεξέλεγκτα πράγματα.

Για παράδειγμα, ο interpreter κάποιας interpreted γλώσσας (π.χ. java, python, perl, php κλπ, ακόμη και ο xulrunner του iceweasel που αναφέρεις), ή κάποια εφαρμογή που παρέχει η ίδια απευθείας τη δυνατότητα εκτέλεσης με system() (π.χ. vim).

 

Αυτές οι εφαρμογές θα πρέπει είτε να παραμετροποιηθούν ώστε να μην παρέχουν οι ίδιες αυτές τις δυνατότητες -αν υπάρχει τέτοια πρόβλεψη από αυτές-, είτε να περιοριστούν με κάποιο δραστικό σύστημα, π.χ.: POSIX Capabilities, Selinux, Grsecurity

 

Το τι μέτρα έχει νόημα να πάρεις εξαρτάται από το αν θέλεις κάτι πρακτικά αρκετά ασφαλές για τους αρχάριους/μη αποφασισμένους χρήστες ή αν θέλεις να αποτρέψεις και πιο έμπειρους/αποφασισμένους.

[rearshooter]

καταρχην ευχαριστω

μιλαμε για απλους χρηστες με ορεξη για ψαξιμο ομως

παντως σιγουρα οχι τοσο ικανους και εμπειρους

λοιπον πως αποκλειω στο sudoers αρχικα?

ειναι λιγο δυσκολο το υπολοιπο κομματι απο οτι βλεπω...κατι που να ζηταει κωδικο στην εκτελεση οποιασδηποτε εφαρμογης εκτος απο μερικες ελευθερες που θα ορισω?

το ασχετο θεμα του bios λογικα γινεται μεσα απο αυτο?

 

 

υγ υπαρχουν θεματα που δεν εχεις ασχοληθει ποτε φανταζουν ευκολα αλλα εκει ειναι το θεμα...ποιος τα εχει ψαξει..

[DIMITRISG]

Επιτρέψτε μου να αναφέρω ότι στην νέα Mandriva 2010 Spring θα ενσωματωθεί αυτό το χαρακτηριστικό

http://dodonov.net/blog/2010/04/27/development-news/

Τα καλά να λέγονται

[rearshooter]

πολυ καλο!

τι χρησιμοποιει μπορεις να μας πεις?

ειναι εφαρμογη?συνδυασμος?θα ηθελα τον κωδικα..

[DIMITRISG]

Είναι το drakguard από το κέντρο ελέγχου Mandriva

http://svn.mandriva.com/cgi-bin/viewvc.cgi/soft/drakguard/trunk/

[alkisg]

Πολύ ωραίο πρόγραμμα. Αναρωτιέμαι γιατί δεν το φτιάχνουν cross-distro, αλλά το "δένουν" ώστε να λειτουργεί μόνο στη δικιά τους διανομή.

[gtroza]

Πολύ ωραίο πρόγραμμα. Αναρωτιέμαι γιατί δεν το φτιάχνουν cross-distro, αλλά το "δένουν" ώστε να λειτουργεί μόνο στη δικιά τους διανομή.

 

για να μην "πτωχεύσουν" !

 

γειά σου alkisg

ρίξε κανα link σχετικά με το Linux στον δημόσιο βίο

.