Ограничение возможностей пользователя.

[graddata]

нужно ограниченичить возможностей пользователя.
Нашёл только:
1 - менюшка где мы удаляем/добавляем пользовтелей.
2 - Редактор изоляций - pessulus
3 - редактор всего - gconf-editor
но этого мне мало.

Очень важно скрыть выбор в панели с выбором приложений, когда на него жмёшь ПКМ "редактор меню" там можно галочки снимать отображения ПО в меню.
Но там ещё можно узнать комманду на запуска этого приложения.
Ни как не могу её убить. Даже ограничения прав юзеру не помогает.
подсакжите, как замочить эту меню?
ubuntu 7.10

[S.Tokarev]

Все гномовские меню у каждого пользователя в подпапках домашнего каталога.
Если эти папки подчистить и запретить пользователю писать в эти папки, то может и поможет.

[graddata]

нужно запретить запуск приложений.

Особенно хочется удалить вкладку "Изменить меню", тк через неё можно узнать команды запуска приложений.

[Kwah]

А можно описание задачи, которую нужно решить, с самого начала? Без скоропалительных выводов, что нужно вот это, вот это, ну и ещё неплохо бы вон то запретить...

[graddata]

понял. Так:
я сделал следующее:
1 в редакторе изоляций - pessulus, я запретил трогать, редактировать панели. - это ок.
2 в графичекой утилите по настройке/создание пользователй лишил их прав администратора.
3 в редакторе gconf-editor заменил функциональные клавиши, точнее события нажатия их.
4 в редакторе "изменить меню", я лишнее спрятал.

Проблема следующая. По 4-ому пункту. если кликнуть ПКМ по условной кнопке "пуск", то как ни лишай пользователей правами, всё равно она висит.
В моей работе это огромная дыра в безопасности.

Как ещё можно пользователй лишить возможности администрирования системы?

[S.Tokarev]

Если речь идёт о запрете выполнения программ, то читаем
man chmod
Все остальные сопсобы - декорация.

[graddata]

ясно.
Буду тогда сам эксперементировать.
А вот по ПО типа твикер для линуха мне так и не подсказали.
В КДЕ это киоск, а гноме?

[victor53p]

Типа твикера мне встречался:
http://ubuntu-tweak.com/downloads
Там deb пакет и есть в нем немного про безопасность.

[Vadi]

В 8.10 есть такая вещь:

http://picasaweb.google.co.uk/vperetokin/Random/photo?authkey=WjK8oDJUdlI#5192804936574230002
http://picasaweb.google.co.uk/vperetokin/Random/photo?authkey=WjK8oDJUdlI#5192804940869197314

Думаю ето подойдет?

[graddata]

Спасибо.
Это здорово. Но не могли бы вы указать название приложения. Или даже пакетика.
Сложно разглядеть в картинке данные о приложении.

[Vadi]

На левой стороне есть линк "Download Photo", ето подойдет? Или что-то другое надо?

И оно по дефолту стоит, пока немерее я не помню чтоб я ето уставлял.

[Yurror]

Открою большой секрет. В ОС UNIX не существует способа запретить пользователю сделать что-либо. Если ядро ОС в принципе допускает что-либо то выполнить данную операцию не есть проблема.

Все любители ограничить свободы пользователей должны уйти на винду и ограничивать там себя хоть до посинения.

Все атрибуты которые вы снимите с помощью разных графических утилиток и chmod обходятся в легкую. Я просто скачаю нужный тар-болл с сайта и пересоберу нужное приложение или что проще скопирую нужный бинарник в домашнюю директорию и проставлю на него нужные права. Только не надо кричать что вы и чтение запретите, чтение чего вы запретите? репозитария ubuntu.com? выкачиваете пакет и распаковываете из него бинарь.
Я здесь показал минимум, абсолютно очевидное решение... а сколько вам приготовят каверзных решений сами пользователи вы и представить не можете.

Люди, будьте людьми а не ...
Не надо никого ни в чем ограничивать. вам это аукнется так что мало не покажется.

[S.Tokarev]

Всё-таки Yurror враг линукса. Переводя на русский язык получается : "Линукс - Проходной двор"
Пользователь конечно может записать всё себе в каталог или куда имеет право (тем софтом который разрешён), вот только выполнить скачанное и распакованное не сможет.
Ибо администратор может запретить всё, вся и всем . Делается это легко и просто.
Теоретически администратору достаточно "исправить" системный вызов exec()  в ядре. Или просто монтировать тома с домашними каталогами и временными файлами с флагом noexec
Хотя я думаю, что соответствующие прибабахи и без того уже есть.

[Yurror]

ОК. Про ядро я уже говорил.
Давайте тогда делиться патчами в этой ветки.
Может S.Tokarev пришлет патч который вообще запрещает исполнение приложений в ОС?
И не надо записывать меня во враги за то что я лишь указал на несостоятельность ваших "защит". Чем раньше поймете что все это туфта полная тем лучше для вас.

Итак ждем патча. S.Tokarev удиви нас. а потом я что-нибудь придумаю чтобы и это обойти

[S.Tokarev]

Не надо передёргивать. Я не говорил о "вообще запрещает исполнение приложений в ОС".
Сначала расскажи как запускать программы находящиеся на томе с флагом noexec.
Может и не придётся патчить ядро ибо всё украдено до нас.
Но желающие смогут легко это  сделать. На то оно и opensource