LINUX.ORG.RU
решено ФорумAdmin

Отключение возможности локального сохранения файлов


0

1

Доброго всем дня.

ОС: Ubuntu 11.04 Сетевая инфраструктура: Домен Windows 2003.

Описание: Имеется контроллер домена и вагон пользовательских станций на Ubuntu 11.04 Все пользователи работают под своими доменными учетками.

Проблема: Необходимо отключить всякую возможность пользователю работать с локальным компьютером. Сохранение всех документов должно происходить только на сетевой диск.

Вопрос: Как это сделать? Какие права назначить на пользовательскую директорию и вообще на всю директорию /home/<имя домена>/ и права на какие файлы надо оставить неизменными, чтобы пользователь мог продолжать спокойно работать.

Заранее спасибо.

А монтировать хомяки на сетевой диск при загрузке вы не догадались?

adriano32 ★★★ ()

>Необходимо отключить всякую возможность пользователю работать с локальным компьютером.

В локальные сейфы компы запереть. (К сети не подключать)

slackwarrior ★★★★★ ()

в качестве домашней папки прописать сетевой диск, на локальный диск права записи не давать, /tmp монтировать в оперативку

Pinkbyte ★★★★★ ()

Надо было по уму делать - тонкие клиенты, все дела.

Вообще модно поступить как в некоторых фирмах - все порты залить эпоксидкой, вынуть приводы, системники спрятать в бронесейфы, чтоб не было доступа к винту, ну а программно - дать доступ юзеру только к хомяку, которого монтировать по сети с сервера.

Но тогда надо будет ходить с опаской, юзеры обидятся, люлей могу навалять.

Zhbert ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Прошу прощения за ламерский вопрос, но как смонтировать папку хоум на сетевой диск? К тому же, не будет лучше порубить права так, чтобы сохранять пользователь ничего не мог, но его хоум полностью работал локально и соответственно, чтобы все грузилось локально, а документы можно было сохранять только на сетевой диск.

zerropull ()

В универе в свое время (оч давно) делалось иначе - при загрузке диск форматировался. Так что сохраняй что хочешь во время работы. Но дальше перезагрузки оно не проживет. Это, конечно, отдельная тема, но возможно тоже будет полезно.

Nefer ()

Я делал просто: /home подгружался по nfs, так же подгружались /etc/passwd и /etc/groups: под своим логином можно было работать на любом компьютере. Это намного проще всяких LDAP или как их там.

Можно грузить не по nfs, а по sshfs (т.к. с nfs периодически какие-то глюки в ядре).

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от zerropull

Ты админишь WS2003? Ты не знаешь при этом о возможностях удалённого профиля? Грош тебе цена как админу, и линукс тут не при чём, эту фичу и для оффтопик-клиентов юзают.

если ты будешь монтировать хомяк на сетевую шару, то добавится лишних чуть-чуть файлов-конфигов на сетвую шару, к тому же по дефолту скрытых. На производительность это не влияет.

Как монтировать? man mount.cifs
до входа пользователя в систему надо подмонтировать шару в /home/user.

Делов-то, все так делают, а придумываешь что-то невообразимое, это только в твоей голове может быть так, как ты придумал.

процессы запускаются от имени пользователя, если ты отобрал у __пользователя__ права на запись в каталог, значит приложение, которое создаёт скажем файлы в /home/user/ будет испытывать проблемы или не запустится (например кеш браузера, закладки, файл сессии гуя и т. п.).
Если оставишь права на запись /home/user, значит создать файлы и каталоги внутри хомяка можно будет.

Можешь покопаться с Apparmor или SeLinux если они такое умеют, но с обычными уровнями доступами к объектам ФС ты такого не сделаешь.

И да, не морочь голову, монтируй не сетевую шару.

adriano32 ★★★ ()
Ответ на: комментарий от zerropull

>но как смонтировать папку хоум на сетевой диск

mount server:/homes/user /home/user (в случае NFS)
mount //server/homes/user /home/user (в случае SMA/CIFS)

Опции добавь по вкусу

лучше порубить права так, чтобы сохранять пользователь ничего не мог

но его хоум полностью работал локально


чтобы все грузилось локально


документы можно было сохранять только на сетевой диск



Parser error: conflicting conditions - division by zero

К слову - для винды были платные системы, реализующие подобное. Но: 1) они хорошие и стоят сотни нефти; 2) они недорогие, но дырявые как дуршлаг

Pinkbyte ★★★★★ ()
Ответ на: комментарий от adriano32

adriano32> Как монтировать? man mount.cifs

automount (autofs5) же

sdio ★★★★★ ()

1. из станция выдираются ВСЕ диски и ставятся в NAS
2. в NAS делается структура домашних каталогов, расставляются acl
3. память добирается до 4 Gb на станцию
4. делается сетевая загрузка станций (почти LTSP),
/ монтируются по nfs, /tmp, и частично /var - сидят в памяти
5. при загрузке станции каталог /home монтируется с NAS`а c опцией acl
6. профит.

проблемы : NFS может взглюкивать, без входа в домен станции и юзера ничего не сработает.

недостатки: нужна шустрая локалка и хороший NAS,монтируется ВЕСЬ каталог /home (можно обойти через pam_script и монтировать /home/vasya по результатам авторизации)

достоинства: от толпы станций с Ubuntu фактически остаётся один образ,
который и администрируется (настраивается/обновляется).

MKuznetsov ★★★★★ ()
Ответ на: комментарий от skyline

Если внимательно вкурить маны и настроить права на директории с вложенными файлами, это будет идеальный вариант для ТС

coldy ★★ ()
Ответ на: комментарий от coldy

Всем спасибо.

Было много конструктива и полезной критики. Буду со всем этим разбираться. Всем огромное спасибо!

P.S. Сервер на 2008 работает. Просто по какой то причине, старый админ настроил на 2003 тип домена. Я действительно не знаю, пока, как работать с удаленным профилем и как его настраивать. Думаю, начну именно с этого. Спасибо еще раз всем.

zerropull ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.