Тонкое ограничение доступа к ПО

1

3

Уважаемые форумчане! Требуется ваша помощь!

Вопрос про тонкое ограничение прав к программному обеспечению.. Интересует возможно ли сделать подобное. а если возможно то как именно? Поделитесь пожалуйста своими идеями, мыслями..

В наличии:

* Операционная система Linux (предположим Ubuntu-производный)

* Пользователь-A-взрослый(№1) (проще говоря умеющий бережно обращаться с системой)

* Пользователь-B-ребёнок(№1) (проще говоря лезущий везде и возможно нажимающий все клавиши подряд и всё такое)

* Пользователь-C-подросток(№1) (проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе, предположим удалить что-то чужое, или системное)

* ПО-1-Браузер(№2) (должен быть доступен всем)

* ПО-2-Файловый менеджер(№2) (должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше, если не возможно, то хотя бы остальное видел в режиме только для чтения)

* ПО-3-IDE(№2) (должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)

(№1) - Здесь важен именно фактор поведения, а возрастной признак дан условно, для лучшего представления..

(№2) - Здесь важен именно фактор ограничения доступа к ПО, причём тонкого ограничения, а тип ПО дан условно..

Ссылка

←	Аналоги notabenoid

Помогите размонтировать сетевой диск недоступного хоста.

→

начни с раздачи каждому отдельного юзера

Harald ★★★★★
(16.07.15 01:35:16 MSK)

Запретить пользователям B и C sudo и ничего с системой они не сделают, только свои домашние каталоги с настройками софта потереть смогут.

IDE, либо устанавливать в домашний каталог пользователя A, либо сменить права на исполняемые файлы, запретив исполнение «для всех» и сделать пользователя A их владельцем.

mky ★★★★★
(16.07.15 01:37:25 MSK)

Ссылка

Ответ на: комментарий от Harald 16.07.15 01:35:16 MSK

+1. Отдельные юзеры, и всё будет хорошо. За IDE можно не трястись, все данные будут у тебя в домашнем каталоге, туда другим входа нет (это надо проверить, если что, выставить chmod 700 /home/твойюзер).

Остальные детали ТЗ, мне кажется, не так важны, как автор представляет, но при желании всё это можно настроить стандартными средствами (man chmod).

Krieger_Od ★★
(16.07.15 02:17:22 MSK)

Ссылка

Чтобы дать ответ нужно рассмотреть все возможные тактические схемы.
Может ли пользователь С отвлечь пользователя А посредством пользователя В и получить доступ?

zolden ★★★★★
(16.07.15 07:52:03 MSK)

проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе, предположим удалить что-то чужое, или системное

при наличии физического доступа — все тлен. так что максимум разграничения — пользователю A отдельную железку с шифрованием, offsite-бэкапами, блокировками и молиться, а B и C пусть сами разбираются.

t184256 ★★★★★
(16.07.15 10:05:14 MSK)

Normal mode: umask 077 у пользователя A. chmod -R 700 $HOME от пользователя A. chmod 700 на те бинарники, которые должны быть доступны только пользователю A, и сделать его владельцем.

Sub-paranoid mode: Если принципиально даже их видеть не должны остальные — установить такие программы в домашний каталог пользователя A, плюс всё выше перечисленное.

Paranoid mode: Всё выше перечисленное, плюс домашний каталог каждого пользователя отдельным шифрованным разделом, корень тоже шифровать. Для пользователей B и C монтировать с noexec.

~~Psych218~~ ★★★★★
(16.07.15 10:11:52 MSK)
Последнее исправление: Psych218 16.07.15 10:14:17 MSK (всего исправлений: 2)

Ссылка

Можно, но подросток обязательно через год станет хакером и взломает Linux, все же Linux есть уязвимости, или он тупо переустановит систему))

~~Reedych~~ ★☆
(16.07.15 10:49:56 MSK)

Ссылка

Ответ на: комментарий от t184256 16.07.15 10:05:14 MSK

при наличии физического доступа — все тлен

да ну, и шифрованый корень? каким образом?

anonymous
(16.07.15 10:53:37 MSK)

Ответ на: комментарий от anonymous 16.07.15 10:53:37 MSK

Шифрованный корень от злого умысла не спасет. И не надо сразу представлять какое-нибудь мудреное криогенное извлечение пароля из RAM — можно банально подменить загрузчик и утырить ключ, или изловчиться убить локер на запущенной системе. Или обидеться и shred'нуть нафиг твой шифрованный корень. Или даже поставить поверх оффтопик, так и не разобравшись, что у тебя там какой-то корень и ты очень старался. Так что повторюсь:

отдельную железку с шифрованием, offsite-бэкапами, блокировками и молиться

t184256 ★★★★★
(16.07.15 11:09:21 MSK)

Ссылка

А что, просто завести каждому свою учетку и четко разграничить права в файлопомойке — не судьба?

~~Eddy_Em~~ ☆☆☆☆☆
(16.07.15 11:14:52 MSK)

Ответ на: комментарий от Eddy_Em 16.07.15 11:14:52 MSK

Надо еще научить блокировать комп, а то такой защите грош цена будет.

Жопу поднял - (сочетание клавиш для блокировки) нажал.

Radjah ★★★★★
(16.07.15 11:17:35 MSK)

пользователи же есть (как вообще-то и в винде), создай их с разными идентификаторами и группами, разберёшься короче
а злодей при доступе к железке может всё сделать с той же загрузочной флешкой
так что отправьте детей в пионерлагерь

amorpher ★★★★★
(16.07.15 11:26:04 MSK)

Ответ на: комментарий от anonymous 16.07.15 10:53:37 MSK

раздел грохнуть и т. п.

amorpher ★★★★★
(16.07.15 11:32:58 MSK)

Ссылка

Операционная система Linux (предположим Ubuntu-производный)

Это у которых все хомяки доступны на чтение друг другу ?

TEX ★★★
(16.07.15 11:36:05 MSK)

Тред не читал, пользователю С уже предлагали дать по щщам?

SevikL ★★★★★
(16.07.15 11:56:55 MSK)

Ссылка

Ответ на: комментарий от Radjah 16.07.15 11:17:35 MSK

Ну и полезно эдак на минуту-другую ставить автоблокировку в xscreensaver.

Жопу поднял - (сочетание клавиш для блокировки) нажал.

Уже давно на работе автоматом жамкаю Super+L, как только из-за стола выхожу ☺

~~Eddy_Em~~ ☆☆☆☆☆
(16.07.15 12:39:08 MSK)

Ответ на: комментарий от Eddy_Em 16.07.15 12:39:08 MSK

автоблокировку в xscreensaver

который имеет свойство падать, открывая доступ к системе всем желающим.

anonymous
(16.07.15 13:01:47 MSK)

Ответ на: комментарий от amorpher 16.07.15 11:26:04 MSK

а злодей при доступе к железке может всё сделать с той же загрузочной флешкой

злодею за это можно дать животворящий подзатыльник/оставить без карманных денег/впредь ограничить доступ к железке/etc./все вышеперечисленное

и таки да, отдельных пользователей без sudo кому не надо + убедительно попросить не гадить, т.к. «вспомнить» рутовый пароль при наличии физического доступа к железке - дело пяти минут времени и двух ребутов.

George ★
(16.07.15 13:33:08 MSK)

Ссылка

Ответ на: комментарий от anonymous 16.07.15 13:01:47 MSK

Ни разу такого не было.

Вот то, что его «магическим клавосочетанием» можно было когда-то отключить — да, косяк. Но и этот косяк лечился нормально.

~~Eddy_Em~~ ☆☆☆☆☆
(16.07.15 14:05:50 MSK)

Ответ на: комментарий от TEX 16.07.15 11:36:05 MSK

Это у которых все хомяки доступны на чтение друг другу ?

права на чтение можно и убрать, сюрприз

Harald ★★★★★
(16.07.15 14:14:15 MSK)

Ответ на: комментарий от Harald 16.07.15 14:14:15 MSK

А еще можно использовать другие дистрибутивы, где нет таких дебильных умолчаний, и нет нужды убирать тщательно разложенные грабли.

Хотя то что части граждан без напильника и жизнь не мила не сюрприз ни разу.

TEX ★★★
(16.07.15 14:32:19 MSK)

Ссылка

Ответ на: комментарий от Eddy_Em 16.07.15 14:05:50 MSK

Ни разу такого не было.

Было разок, у коллеги на арче упал, открыв доступ к десктопу. Нажали ctrl+l и пошли дальше, но осадочек остался. Убунтоиды о том же в своей багзилле пишут

https://bugs.launchpad.net/ubuntu/ source/xscreensaver/ bug/966129

anonymous
(16.07.15 17:35:34 MSK)