История изменений
Исправление robus, (текущая версия) :
чтобы определенный пользователь имел право запускать только, например, файловый менеджер, браузер, почтовый клиент и LibreOffice
Написать для него АРМ, в виде Wayland композитора (можно использовать, например, QtCompositor, eglfs или wlroots), способное запускать только файловый менеджер, браузер, почтовый клиент и LibreOffice. Через logind обеспечить запуск этого композитора при логине пользователя.
а исполнимые файлы, в том числе и скрипты, нельзя было запустить из любых директоий, куда у пользователя есть права на запись.
Значит FM не должен уметь запускать эльфы и скрипты (мы ведь полностью контролируем какой FM будет запускать композитор). АРМ не должно иметь возможность запустить терминал ни при каких условиях, при завершении работы АРМ (не важно аварийно, или ещё как) сессия пользователя должна завершаться – нужно настроить logind именно на такое поведение, иначе пользователь сможет из шела согнуть линукс под себя обратно.
в сеть могли выходить только браузер и почтовый клиент
Я не в курсе что сейчас модно из линуксовых Firewall-ов.
Исходная версия robus, :
чтобы определенный пользователь имел право запускать только, например, файловый менеджер, браузер, почтовый клиент и LibreOffice
Написать для него АРМ, в виде Wayland композитора (можно использовать, например, QtCompositor, eglfs или wlroots), способное запускать только файловый менеджер, браузер, почтовый клиент и LibreOffice. Через logind обеспечить запуск этого композитора при логине пользователя.
а исполнимые файлы, в том числе и скрипты, нельзя было запустить из любых директоий, куда у пользователя есть права на запись.
Значит FM не должен уметь запускать эльфы и скрипты (мы ведь полностью контролируем какой FM будет запускать композитор). АРМ не должно иметь возможность запустить терминал ни при каких условиях, при завершении работы АРМ (не важно аварийно, или ещё как) сессия пользователя должна завершаться – нужно настроить logind именно на такое поведение, иначе пользователь сможет из шела согнуть линукс под себя обратно.
в сеть могли выходить только браузер и почтовый клиент Я не в курсе что сейчас модно из линуксовых Firewall-ов.