LINUX.ORG.RU

Супербесправный пользователь


0

1

Народ! Как создать (и вообще, реально ли?) такого пользователя, который мог бы запускать только одно приложение, скажем, Xterm, через комбинацию клавиш, но больше не мог бы выполнить никакую другую комманду и тем более вылезти за пределы своей домашней директории. Достаточно ли для такого сценария поправить такие файлы, как /etc/group, /etc/sudoers и т. п.? А если у такого пользователя оставить пустой переменную $PATH, чем это чревато?

создаешь пользователя и пихаешь его в банально огороженную группу

ClanMax
()

Ага. Всем спасибо! Пойду просветляться.

ku3nets
() автор топика

Раз уж нужна только консоль, то лучше ему вообще иксы не пускать, а сразу впихнуть ему какой-нибудь rbash вместо шелла и пущай сидит в консоли.

Nao ★★★★★
()
Ответ на: комментарий от male66

>интересно - а что он в этой консоли делать будет? если у него прав нет... :)

Медитировать на курсорчики и буковки. Это знаешь как увлекает.

Zhbert ★★★★★
()
Ответ на: комментарий от male66

> интересно - а что он в этой консоли делать будет? если у него прав нет... :)
сидеть в песочнице и играцца :)

Nao ★★★★★
()

>только одно приложение, скажем, Xterm, через комбинацию клавиш, но больше не мог бы выполнить никакую другую комманду

А зачем тогда Xterm???

amorpher ★★★★★
()

> но больше не мог бы выполнить никакую другую комманду и тем более вылезти за пределы своей домашней директории

А как xterm будет загружать те же libX11.so из /usr/lib[64]?

Nastishka ★★★★★
()

Камрады! Задача типа учебная, поэтому странноватая. Хочу понять на её основе принцип. X-ы непременное условие.

Опробовал пока вариант на основе rbash. Вроде получилось, что хотел. Но может ещё есть какие наставления на путь истинный? Со вниманием и благодарностью выслушал бы.

ku3nets
() автор топика
Ответ на: комментарий от ku3nets

Можно посадить юзера в чрут.
Вообще задача сформулирована довольно мутно. Что нужно по-конкретнее?

Nao ★★★★★
()
Ответ на: комментарий от Nao

Задача простая: создать максимально ограниченный пользовательский аккаунт, с возможностью запускать строго ограниченное количество X-овых приложений.

За вариант с chroot'ом спасибо! Попробую.

ku3nets
() автор топика
Ответ на: комментарий от ku3nets

> Задача простая: создать максимально ограниченный пользовательский аккаунт, с возможностью запускать строго ограниченное количество X-овых приложений.

Если нужно ограничить косметически, то можно просто вместо запуска WM/DE прямо сразу запускать это приложение.
Конечно, нужно позаботиться чтобы в приложении не было консоли, а так же, чтобы юзер не мог бы залогиниться через локальные консоли посредством ctrl+alt+F1. (я бы сделал через pam, можно отключить getty на них вообще)

Nao ★★★★★
()
Ответ на: комментарий от Nao

> вместо запуска WM/DE прямо сразу запускать это приложение.
Или, если приложений несколько, то лёгкую WM, в которую кинуть соответствующие «ярлычки» и сделать недоступным для изменения все настройки.

Nao ★★★★★
()
Ответ на: комментарий от Nao

Да, примерно так я и сделал. Осталось только убрать возможность выхода в консоль через ctrl+alt+F1. Как это можно реализовать?

ku3nets
() автор топика
Ответ на: комментарий от ku3nets

> Да, примерно так я и сделал. Осталось только убрать возможность выхода в консоль через ctrl+alt+F1. Как это можно реализовать?

Теоретический X-сервер может не пущать переходить на консоли, но я не знаю как.
Безопаснее наверное будет вообще отключить getty. У вас какой дистрибутив?

Кстати, ещё бы желательно в ядре отключить Magic SysRq keys, если они включены.
Ещё в X-сервере отключить ctrl+alt+backspace (в последней бубунте по-умолчанию отключено).

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.