Puis-je restreindre un utilisateur à utiliser des programmes spéciaux?


14

Est-il possible d'ajouter un utilisateur et de le limiter à exécuter des programmes spéciaux?
Par exemple, après la connexion de cet utilisateur, il ne peut ouvrir Firefox que pour utiliser Internet et aucun autre programme ne peut être exécuté par cet utilisateur.
Par exemple, dans un terminal, les commandes ne seront pas accessibles lorsque vous supprimez certaines variables d'environnement comme $ HOME.
Mais est-il possible d'éviter d'exécuter des programmes dans un shell graphique, comme Gnome? Si oui, comment?


4
Ceci est généralement appelé kiosk modemais je ne suis pas sûr de l'état dans gnome 3. Voir tranzistors.wordpress.com/2012/05/23/… pour plus de détails. Selon fedoraproject.org/wiki/Features/InitialExperience gnome-shell a une sorte de mode kiosque
Ulrich Dangel

Réponses:


4

Vous pouvez supprimer les autorisations d'exécution pour les fichiers binaires que vous ne souhaitez pas que l'utilisateur exécute. Créez un nouveau groupe, modifiez les autorisations d'exécution ( chmod go-rwx) et ajoutez l'utilisateur souhaité au groupe. (Ceci est similaire à la façon dont seuls certains utilisateurs sont autorisés à utiliser la sudocommande.)

Selon ce que vous souhaitez réaliser, la prison chroot peut également être utile. Dans le cas où vous envisagez d'avoir une configuration de type kiosque, il existe des outils de verrouillage pour KDE (Kiosk Tool) et GNOME (Sabayon). Si Firefox est tout ce que vous voulez autoriser, consultez Webconverger. Dans le cas où vous envisagez de mettre en place un réseau de kiosques, google Libki. Si la sécurité est primordiale, vous pouvez également affiner les capacités de programmes individuels à l'aide d'AppArmor ou de SELinux.


Je n'ajoute pas cela comme réponse parce que je ne l'ai pas essayé depuis longtemps, mais vous pouvez changer le shell de connexion de l'utilisateur (dans / etc / passwd, je crois) pour exécuter une commande ou un script arbitraire au lieu de la valeur par défaut qui leur permet un accès utilisateur normal complet. Il vous suffit de tester votre commande / script pour vous assurer que l'utilisateur ne peut pas en sortir.
Joe

"Vous pouvez supprimer les autorisations d'exécution pour les fichiers binaires que vous ne souhaitez pas que l'utilisateur exécute." <- et les autres utilisateurs ???
Konrad Gajewski
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.