OpenSuse привилегии пользователей.

> Добавление в определенные группы пользователя ничего не даёт.
После добавления пользователь должен перелогиниться, чтобы изменения применились.

Это вообще ничего не меняет.

Что за права нужны пользователю? В какие группы Вы его добавляете?

Для меня это белое пятно. Что означают группы video, mail и так далее? И как вообще разрешить юзверю запускать только определенное приложение, например, офис райтер или кальк?

вот с этим проблема везде, вообщем есть 2 пути:

ставишь X в chroot

прячешь иконки и ланчбар

> И как вообще разрешить юзверю запускать только определенное приложение, например, офис райтер или кальк?
Средствами групп - никак. По-умолчанию на все программы стоят права 755: владелец (root) может делать всё, что угодно, группа (root) - читать и запускать, и все остальные - тоже читать и запускать.

Что означают группы video

[22:48:50][aitap@Tarkus ~]> ll /dev/ | grep video
crw-rw---- 1 root video 195, 0 Фев 6 11:12 nvidia0
crw-rw---- 1 root video 195, 255 Фев 6 11:12 nvidiactl
Возможность пользоваться аппаратным ускорением видеокарты (в данном примере - nvidia, на других видеокартах/видеодрайверах будут другие файлы, но смысл от этого не меняется).

mail

Возможность работать с содержимым /var/mail

> /var/mail
У меня такой папки вообще нет.

Возможность пользоваться аппаратным ускорением видеокарты

Если я не состою в этой группе, не смогу пользоваться? Про виртуал бокс я знаю - он не запустит виртуальные машины.
Как узнать про остальные группы? Че за команда такая ll /dev/ | grep video?

> Если я не состою в этой группе, не смогу пользоваться?
Да. Обычно GDM/KDM авторизует пользователя в необходимых группах в соответствии со своими настройками, даже если в /etc/group записи о членстве в этой группе нет.

Как узнать про остальные группы?

Можно список поимённо?
Для просмотра списка файлов, чьим владельцем является некоторая группа, можно воспользоваться командой sudo find / -group имягруппы.

Че за команда такая ll /dev/ | grep video?

У меня «ll» - алиас для «ls -l».
«ls» - показать список файлов.
«ls -l» - показать список файлов с подробностями (права доступа, владелец, etc).
«|» - перенаправить вывод предыдущей команды на вход следующей
«grep video» - найти в тексте с входа строки, содержащие «video»

Таким образом, я показал с подробностями список файлов, чьим владельцем является группа video.

> список файлов
в директории /dev/

Список групп:

audio:x:17:pulse
avahi:!:105:
bin:x:1:daemon
cdrom:x:20:
console:x:21:
daemon:x:2:
dialout:x:16:
disk:x:6:
floppy:x:19:
ftp:x:49:
games:x:40:
gdm:!:110:
haldaemon:!:112:
kmem:x:9:
lock:x:54:
lp:x:7:
mail:x:12:
maildrop:!:59:
man:x:62:
messagebus:!:104:
modem:x:43:
news:x:13:
nobody:x:65533:
nogroup:x:65534:nobody
ntadmin:!:71:
ntp:!:103:
polkituser:!:111:
postfix:!:51:
public:x:32:
pulse:!:108:
pulse-access:!:109:
root:x:0:
rtkit:!:107:
shadow:x:15:
sshd:!:102:
suse-ncc:!:106:
sys:x:3:
tape:!:101:
trusted:x:42:
tty:x:5:
utmp:x:22:
uucp:x:14:
vboxusers:!:113:troubadour
video:x:33:
vnstat:!:114:
wheel:x:10:
www:x:8:
xok:x:41:
users:x:100:

Исключил я юзера из группы vnstat, а он все равно может просматривать трафик. Группа видео абсолютно ничего не дает.

> audio:x:17:pulse
Возможность работать с звуковыми устройствами (файлы /dev/snd/*)

avahi:!:105:

Работа с демоном avahi: http://ru.wikipedia.org/wiki/Avahi

cdrom:x:20:

Работа с компакт-дисками (/dev/sr0)

console:x:21:

find: `console' is not the name of an existing group
(что-то специфичное для OpenSUSE?)

daemon:x:2:

Специфичные для ряда демонов (например, atd) файлы. Обычному пользователю эта группа не нужна

dialout:x:16:

Модемы, последовательные порты (/dev/ttyS* /dev/ttyUSB* /dev/ttyACM*)

disk:x:6:

Дисковые устройства (/dev/sd*). Обычному пользователю эта группа не нужна.

floppy:x:19:

Дисковые устройства (/dev/fd*, иногда флешки /dev/sd*).

ftp:x:49:

find: `ftp' is not the name of an existing group

games:x:40:

Право на запуск /usr/games/* (обычно там лежат нативные игры)

gdm:!:110:

Системная группа для GDM, обычному пользователю не нужна

haldaemon:!:112:

Системная группа для HAL, обычному пользователю не нужна

kmem:x:9:

Доступ к /dev/port и /dev/mem, обычному пользователю не нужен

lock:x:54:

find: `lock' is not the name of an existing group

lp:x:7:

Доступ к портам LPT, обычному пользователю не нужен (cups работает со своими правами)

messagebus:!:104:

Право на работу с dbus

modem:x:43:

Работа с модемами (файлы /dev/ttyACM* /dev/ttyUSB* ?)

pulse:!:108:

Системная группа для pulseaudio?

pulse-access:!:109:

Права на работу с pulseaudio?

root:x:0:

Группа-владелец многих системных файлов

shadow:x:15:

Группа-владелец файлов с зашифрованными паролями /etc/shadow и /etc/gshadow, обычному пользователю не нужна

tape:!:101:

Права на работу с кассетами :)

utmp:x:22:

Группа-владелец /var/run/utmp (системный файл с записями текущих логинов)

wheel:x:10:

Право на запуск su, sudo

Как пользоваться-то? Потому что исключение/добавление юзера - ничего не дает.

Надо еще назначать права доступа к файлам и папкам, выставляя для них права, я так понял? Вот, запретил юзверю допуск к моей музыке. Он теперь не будет слушать группу Кино =)

> Потому что исключение/добавление юзера - ничего не дает.
Приведите пример, пожалуйста.
Убедитесь, что назначением групп не занимается GDM (покопайтесь в GUI в «настройках пользователя»).

> audio:x:17:pulse
Возможность работать с звуковыми устройствами (файлы /dev/snd/*)
У меня вот чего:
/bin/eject
/dev/audio
/dev/dsp
/dev/mixer
/dev/snd/seq
/dev/snd/controlC0
/dev/snd/hwC0D0
/dev/snd/pcmC0D0c
/dev/snd/pcmC0D0p
/dev/snd/timer
Я состаю в общей группе user, которые могут делать все, я так понял. Второй пользователь в ней не состоит, но он и не состоит в группе audio, которые могут допустим вынимать лоток оптического диска /bin/eject. Я зашел от имени этого пользователя спокойно вынул лоток и все.

> Я зашел от имени этого пользователя
Через GDM? Он мог дать права на работу с диском.

не состоит в группе audio, которые могут допустим вынимать лоток оптического диска /bin/eject

Разве не cdrom?

> /bin/eject
Понял. Группа-владелец может быть и audio, но права на этот файл, скорее всего, 755, и пользователь, не состоящий в audio, всё-таки может запустить это приложение.

Вручную.

Предлагаю посмотреть, как может помочь тебе AppArmor.

Вы подняли очень интересную проблему. В свое время мне приходилось заниматься такими вещами, как создание ФЗС (функционально-замкнутая среда), но под Windows. Там для этого использовались шаблоны безопасности, настроенные вручную. После загрузки шаблонов на целевую машину она после перезагрузки превращалась в крепость, в которой у пользователя есть только право на запуск 1-2 приложений и право на выключение компьютера. Собственно, все остальные операции выполнялись без участия пользователя. Как сделать подобное в Linux при всей его мощи и гибкости?

Можно запретить пользователю запускать демонов?

Наверное. Только вообще это группами доступа решается. Или ты имеешь в виду вообще все демоны?

> И как вообще разрешить юзверю запускать только определенное приложение, например, офис райтер или кальк?

Windows поставить. Другого пути нет.

Я уже поспешил открывать тему, увидев что в ней ты отписался. Ты же давно openSuSE используешь...

Ну как это нельзя. Можно. Делают же это в научной библиотеке ТГУ (там Solaris на компьютерах), доступен фаерфокс и Nautilus. В Linux Format я что-то такое видел (в 2007 году в одной школе сделали Linux, там каталог home после работы стирался и распаковывался из tar.bz2-архива), программ у людей тоже было минимум.

> Или ты имеешь в виду вообще все демоны?
В ясте демоны для всех пользователей одни. Отключишь в одной учетной записи и отключиться в другой. Парва выставлять в /etc/init.d или демонов в /use/bin с буковкой d?

права доступа*

Было бы неплохо, если б кто-нибудь взялся, да написал статью по этому поводу. Думаю, информация будет многим интересна. Особенно тем же школам или предприятиям с щепетильным отношением к безопасности.

С самого начала этого треда я осознал, что в Linux просто нет пользователя или группы пользователей с минимальными правами. Все пользователи по умолчанию более или менее равны. Есть nobody, но это же для запрещения доступа вообще. Или я не прав? А SELinux может тут что-нибудь предложить?

Nobody тоже ничего не дает. Да, по-умолчанию, для других пользователей ничего не запрещено.

Зависит от прав доступа к файлам, группы ничего не дают. Вот у меня папка Music:

drwxr-xr-x  3 troubadour users     4096 2011-02-08 10:10 Music

Да что папки! Вот, например, я хочу дать пользователю право запускать только офис и какой-нибудь текстовый редактор. Но как? Ведь по умолчанию при установке пакетов все исполняемые файлы помещаются в usr/bin или /opt/<директория программы>/bin.

Не могу же я на папке /usr/bin/* применить права 770 и назначить владельцем группу типа powerusers, куда НЕ включить конкретного пользователя. Это же просто убьет систему. Он просто будет кучу сообщений об ошибках получать, а из меню ярлыки никуда не денутся. А еще хотелось бы, чтоб этот пользователь не мог в консоли зайти в систему. Только через Xorg. Только на конкретный DE с конкретным набором ярлыков в меню и без права вызвать командную строку (которая по Alt+F2 обычно вызывается).

В общем, даешь народу шаблоны безопасности! :)

Чтоб можно было все настройки спокойно отредактировать в каком-нибудь хранилище и потом одной командой применить к желаемому пользователю или группе.

Тут apparmor и selinux посоветовали.