LINUX.ORG.RU

Тонкое ограничение доступа к ПО

 ,


1

3

Уважаемые форумчане! Требуется ваша помощь!

Вопрос про тонкое ограничение прав к программному обеспечению.. Интересует возможно ли сделать подобное. а если возможно то как именно? Поделитесь пожалуйста своими идеями, мыслями..

В наличии:

* Операционная система Linux (предположим Ubuntu-производный)

* Пользователь-A-взрослый(№1) (проще говоря умеющий бережно обращаться с системой)

* Пользователь-B-ребёнок(№1) (проще говоря лезущий везде и возможно нажимающий все клавиши подряд и всё такое)

* Пользователь-C-подросток(№1) (проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе, предположим удалить что-то чужое, или системное)

* ПО-1-Браузер(№2) (должен быть доступен всем)

* ПО-2-Файловый менеджер(№2) (должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше, если не возможно, то хотя бы остальное видел в режиме только для чтения)

* ПО-3-IDE(№2) (должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)

(№1) - Здесь важен именно фактор поведения, а возрастной признак дан условно, для лучшего представления..

(№2) - Здесь важен именно фактор ограничения доступа к ПО, причём тонкого ограничения, а тип ПО дан условно..

Запретить пользователям B и C sudo и ничего с системой они не сделают, только свои домашние каталоги с настройками софта потереть смогут.

IDE, либо устанавливать в домашний каталог пользователя A, либо сменить права на исполняемые файлы, запретив исполнение «для всех» и сделать пользователя A их владельцем.

mky ★★★★★ ()
Ответ на: комментарий от Harald

+1. Отдельные юзеры, и всё будет хорошо. За IDE можно не трястись, все данные будут у тебя в домашнем каталоге, туда другим входа нет (это надо проверить, если что, выставить chmod 700 /home/твойюзер).

Остальные детали ТЗ, мне кажется, не так важны, как автор представляет, но при желании всё это можно настроить стандартными средствами (man chmod).

Krieger_Od ★★ ()

Чтобы дать ответ нужно рассмотреть все возможные тактические схемы.
Может ли пользователь С отвлечь пользователя А посредством пользователя В и получить доступ?

zolden ★★★★★ ()

проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе, предположим удалить что-то чужое, или системное

при наличии физического доступа — все тлен. так что максимум разграничения — пользователю A отдельную железку с шифрованием, offsite-бэкапами, блокировками и молиться, а B и C пусть сами разбираются.

t184256 ★★★★★ ()

Normal mode: umask 077 у пользователя A. chmod -R 700 $HOME от пользователя A. chmod 700 на те бинарники, которые должны быть доступны только пользователю A, и сделать его владельцем.

Sub-paranoid mode: Если принципиально даже их видеть не должны остальные — установить такие программы в домашний каталог пользователя A, плюс всё выше перечисленное.

Paranoid mode: Всё выше перечисленное, плюс домашний каталог каждого пользователя отдельным шифрованным разделом, корень тоже шифровать. Для пользователей B и C монтировать с noexec.

Psych218 ★★★★★ ()
Последнее исправление: Psych218 (всего исправлений: 2)

Можно, но подросток обязательно через год станет хакером и взломает Linux, все же Linux есть уязвимости, или он тупо переустановит систему))

Reedych ★☆ ()
Ответ на: комментарий от anonymous

Шифрованный корень от злого умысла не спасет. И не надо сразу представлять какое-нибудь мудреное криогенное извлечение пароля из RAM — можно банально подменить загрузчик и утырить ключ, или изловчиться убить локер на запущенной системе. Или обидеться и shred'нуть нафиг твой шифрованный корень. Или даже поставить поверх оффтопик, так и не разобравшись, что у тебя там какой-то корень и ты очень старался. Так что повторюсь:

отдельную железку с шифрованием, offsite-бэкапами, блокировками и молиться

t184256 ★★★★★ ()

А что, просто завести каждому свою учетку и четко разграничить права в файлопомойке — не судьба?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Надо еще научить блокировать комп, а то такой защите грош цена будет.

Жопу поднял - (сочетание клавиш для блокировки) нажал.

Radjah ★★★★★ ()

пользователи же есть (как вообще-то и в винде), создай их с разными идентификаторами и группами, разберёшься короче
а злодей при доступе к железке может всё сделать с той же загрузочной флешкой
так что отправьте детей в пионерлагерь

amorpher ★★★★★ ()

Операционная система Linux (предположим Ubuntu-производный)

Это у которых все хомяки доступны на чтение друг другу ?

TEX ★★ ()

Тред не читал, пользователю С уже предлагали дать по щщам?

SevikL ★★★★★ ()
Ответ на: комментарий от Radjah

Ну и полезно эдак на минуту-другую ставить автоблокировку в xscreensaver.

Жопу поднял - (сочетание клавиш для блокировки) нажал.

Уже давно на работе автоматом жамкаю Super+L, как только из-за стола выхожу ☺

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

автоблокировку в xscreensaver

который имеет свойство падать, открывая доступ к системе всем желающим.

anonymous ()
Ответ на: комментарий от amorpher

а злодей при доступе к железке может всё сделать с той же загрузочной флешкой

злодею за это можно дать животворящий подзатыльник/оставить без карманных денег/впредь ограничить доступ к железке/etc./все вышеперечисленное

и таки да, отдельных пользователей без sudo кому не надо + убедительно попросить не гадить, т.к. «вспомнить» рутовый пароль при наличии физического доступа к железке - дело пяти минут времени и двух ребутов.

George ()
Ответ на: комментарий от anonymous

Ни разу такого не было.

Вот то, что его «магическим клавосочетанием» можно было когда-то отключить — да, косяк. Но и этот косяк лечился нормально.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Harald

А еще можно использовать другие дистрибутивы, где нет таких дебильных умолчаний, и нет нужды убирать тщательно разложенные грабли.

Хотя то что части граждан без напильника и жизнь не мила не сюрприз ни разу.

TEX ★★ ()

Вопрос про тонкое ограничение прав к программному обеспечению..

Самое тонкое ограничение прав доступа к программному обеспечению, о котором я когда-либо слышал: над монитором лист с крупным текстом

А ПО Е?(*?*У?

Csandriel ()

скрыть DE

Не прописывать/вычеркнуть его из меню DM, запускать вручную. Запретить исполнение пакетного менеджера юзерам.

Csandriel ()

думаю, тут уместно будет напомнить о «яндекс днс»

Deleted ()
Ответ на: комментарий от zolden

Может ли пользователь С отвлечь пользователя А посредством пользователя В и получить доступ?

Кинуть пользователя В в пользователя А?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.