Wie kann ich den Programmzugriff auf andere Benutzer beschränken?

12

Ich richte ein neues Benutzerkonto ein und möchte nur für dieses Konto Zugriff auf bestimmte Programme gewähren. Wie würde ich das machen?

permissions users Lyrositor
quelle
Vielleicht möchten Sie erklären, welche Art von Programmen (z. B. sprechen Sie über die Verwendung einer GUI oder nur über den Befehlszeilen-Shell-Zugriff?).
Januar
Möchten Sie, dass das neue Konto (1) nur einen Teil der Programme ausführen kann, die alle anderen verwenden können (z. B. möchten Sie, dass der neue Benutzer Firefox nicht ausführt ), oder möchten Sie, dass das neue Konto (2) ausgeführt wird alles plus einige Programme mit eigenem exklusiven Zugang? (Dh in Fall 2. nur das neue Konto könnte das Programm "foobar" ausführen, andere Leute nicht.)
Riccardo Murri
Alle Programme, und ich möchte 1) verhindern, dass sie beispielsweise Firefox ausführen.
Lyrositor

Antworten:

13

Hier ist ein schneller Weg, dies am Beispiel von Firefox zu tun:

  1. Erstellen Sie eine Gruppe webusers
  2. Ändern Sie die Rechte der Firefox-Binärdatei in 750 (root: rwx, webusers: rx) und das Eigentum in root:webusers
  3. Fügen Sie der Gruppe alle Benutzer hinzu, die Firefox verwenden dürfen webusers

Sie können natürlich Gruppen für alle einzelnen Programme erstellen. Hier sind die Befehle dafür.

sudo addgroup webusers
sudo chmod 750 /usr/bin/firefox
sudo chown root:webusers /usr/bin/firefox
sudo adduser alice webusers
sudo adduser bob webusers
mniess
quelle
1
Soweit ich weiß, handelt es sich hierbei um eine Blacklisting-Lösung, nicht wahr? Dies bedeutet, dass ich alle Anwendungen auf die schwarze Liste setzen müsste - was nicht sehr praktisch ist. Außerdem: Was passiert nach dem nächsten Firefox-Update? Muss ich die Berechtigungen zurücksetzen /usr/bin/firefox?
Thomas W.
Ein Update sollte die Berechtigungen für die Datei nicht beeinträchtigen. Dies ist eine Blacklisting-Lösung in dem Sinne, dass Sie Apps auf die Blacklist setzen müssen, die Benutzer nicht ausführen können sollten, und eine Whitelist-Lösung in dem Sinne, dass Sie die Benutzer auf die Whitelist setzen müssen, die die Blacklist-Apps ausführen können sollen.
Mniess
Diese Lösung hat mir geholfen, den verbotenen Benutzer daran zu hindern, erfolgreich auf die Programme zuzugreifen, aber die zulässigen Benutzer (in diesem Beispiel Alice und Bob) dürfen auch nicht auf die Programme zugreifen ... Was habe ich falsch gemacht?
Abraham Murciano Benzadon
3

Vielleicht möchten Sie einen Blick auf Pessulus und Gnome Nanny werfen, um Benutzerkonten zu sperren.

Um bestimmte Programme zu sperren, können Sie AppArmor verwenden. Es gibt keine einfache Konfiguration, um das zu erreichen, was Sie wollen, aber das offizielle Wiki enthält einen schönen Artikel über AppArmor: https://help.ubuntu.com/community/AppArmor

mniess
quelle
Ich habe Gnome Nanny ausprobiert und konnte nicht anders. Was ist Pessulus?
Lyrositor
Pessulus ist der offizielle Gnome Lockdown-Editor.
Mniess
Entschuldigung, ich möchte einzelne Programme steuern.
Lyrositor