Запретить доступ ко всем папкам, кроме Домашней

[maks05]

Дано: 2 пользователя, один из них администратор, другой - "обычный".
Задача: запретить "обычному" заходить в любые папки, кроме своей собственной "Домашней".

Почитал про chmod, но немного запутался. Там, в основном, как дать права каталогам и файлам, а не группам и пользователям.

Система Kubuntu 12.04.
В данный момент проделал следующее:
1) Запретил доступ обычного пользователя в домашний каталог админа. Оказывается "обычный" по-умолчанию туда попадает и и может читать и запускать файлы (но не может записывать и удалять), а я ещё в январе на новичка в другой теме ругался, извиняюсь. Запретил доступ с учётки админа к его Домашней папке всем, кроме "владельца", через "Свойства/Права".
2) Скрыл в Dolphin лишние точки доступа (а на компьютере ещё и Windows 7 стоит). Но, опять же, их по правой клавише можно восстановить.

Смысл всего этого: создать контролируемую и настраиваемую гостевую учётку. Обычная гостевая не подходит, так как при перезагрузке сбрасывает все настройки, включая настройки рабочего стола (они должны отстаться с нужными настройками - это важно). В тоже время нужна максимальная защита "от дурака", что бы даже случайно никуда через менеджер файлов не влезли. Ограничения на запуск программ и сохранение/изменения файлов в домашней папке "обычного пользователя", на доступ в интернет и подключение флэшек, внешинх винтов и CD-приводов к нетбуку не предполагается.

Сейчас обычный пользователь входит в следующие группы (если я использовал правильную команду):

guest1@tanya-X101CH:~$ groups guest1
guest1 : guest1 cdrom floppy plugdev scanner lpadmin sambashare

Есть относительно простая команда для этой задачи?  Идеальней всего было бы через GUI, что бы потом владелица компьютера сама смогла сделать (да и я лучше визуальные подсказки запоминаю, чем скучные команды ).

[peregrine]

maks05, смотри, есть рут, есть юзер. У тебя, как я понимаю 2 пользователя и рут. Один пользователь может использовать sudo, второй не может. Этому второму надо  не дать смотреть твои папки. Поставь файловый менеджер PCManFM там всё просто с правами и группами, проще не бывает. Запусти его от рута, нужные каталоги выдели, ПКМ, свойства и настраивай права доступа.

[maks05]

Штука в том, что выделить придётся практически все каталоги. Да думаю и через Dolphin это можно сделать. Я люблю мышкой махать, но не до такой же степени?
А нет чего-то консольно, по принципу не "запретить всем каталогам давать доступ данному пользователю/группе", а по принципу "запретить этому пользователю всё кроме ..."?
Тут ещё вот какие сомнения: не приведёт ли запрет на доступ "ко всему" к неработоспособности данной учётки?

 

[peregrine]

maks05, а тебе надо всю домашнюю папку скрыть?
Пользователь решил продолжить мысль 19 Августа 2013, 05:27:34:maks05, Корень скрыть нельзя.

[zotkindm]

Делов-то на 5 минут, выделяешь папку и запрещаешь доступ всем остальным, при этом достаточно начальнуюпапку выставить с правами а вложенные не обязательно, он все равно не пройдет через начальную, а запрещенному пользователю присвой какунить группу.

[peregrine]

zotkindm, а можно рекурсивно применить ко всем вложенным папкам и файлам.

[ArcFi]

Задача: запретить "обычному" заходить в любые папки, кроме своей собственной "Домашней".

Постановка задачи неверна.
С такой формулировкой единственным решением будет запретить доступ к компу совсем.
Либо скопировать всю систему пользователю в хомяк и запихнуть его в chroot, но это бред же.

Что действительно можно и нужно сделать:
1) исключить пользователя из лишних групп
2) дополнительные вендовые разделы монтировать с правильными значениями опций umask, uid, gid, а для линуксовых — тот же chmod или chown
3) убрать доступ к домашним каталогам остальных юзеров:

Код: [Выделить]

chmod -R u=rwX,g=,o= /home/*

[maks05]

Что действительно можно и нужно сделать:
1) исключить пользователя из лишних групп
2) дополнительные вендовые разделы монтировать с правильными значениями опций umask, uid, gid, а для линуксовых — тот же chmod или chown
3) убрать доступ к домашним каталогам остальных юзеров:

Код: [Выделить]

chmod -R u=rwX,g=,o= /home/*

1)Вот как определить, какие группы лишние? Группы, в которые входит сейчас условно неблагонадёжный пользователь, я привёл в первом сообщении. Что там лишнее? Или нужна другая команда для диагностики?
2) Опять же, что является правильным. Пока предполагаю, что монтирование в режиме "только для чтения". Что ещё?
3) Я уже перекрыл доступ к "Домашней папке" админской учётки через GUI (с админской же учётки, естественно). С командой разберусь чуть позже: вижу что-то знакомое, но наизусть пока не знаю, придётся заглянуть в инструкцию ещё раз. (Не то, что бы не доверяю, но моя цель не просто настроить, а в процессе получить знания.)

Спасибо всем. Обстоятельства складываются так, что вряд ли успею разобраться и настроить нужным образом до возврата компьютера хозяйке. А мне ещё  нужно успеть резервные копии сделать, что тоже для меня в новинку. Так что не уверен, когда отпишусь результах. В любом случае, если есть дельные советы и пояснения - с вниманием выслушаю. А, возможно, успею и реализовать.

[ArcFi]

1)Вот как определить, какие группы лишние?

В общем случае, когда вы не знаете, какая группа какие привилегии предоставляет, действовать методом от противного, т.е. исключить из всех групп и добавить только если где-то не хватает нужных прав.

2) Опять же, что является правильным. Пока предполагаю, что монтирование в режиме "только для чтения". Что ещё?

Тут требуется конкретнее: что за раздел, кем и для каких целей используется.
Короче, зависит от обстоятельств.

[maks05]

В общем случае, когда вы не знаете, какая группа какие привилегии предоставляет, действовать методом от противного, т.е. исключить из всех групп и добавить только если где-то не хватает нужных прав.

Да, видимо придётся методом научного ... познания.

Тут требуется конкретнее: что за раздел, кем и для каких целей используется.
Короче, зависит от обстоятельств.

Во-первых, NTFS- и FAT32-разделы: W7, заводской образ для восстановления и ещё один образ, созданный после настройки.
Предполагаю оба образа в "только для чтение" (а хорошо бы вообще не монтировать). Основной NTFS с Windows (без дополнительного "D", который в данном случае не создавался) всё же должен быть доступен с админской учётки, но только с неё. По идее, можно тонко настроить права на /media. Попробую.

Во-вторых, классические для домашней Ubuntu /,/home и swap.
Swap остаётся доступен, как перекрыть /home уже понятно, а вот что делать с / не понятно. В том-то и проблема, что некоторые каталоги из точки доступа "Корневая папка" в файловом менеджере вполне доступны кому угодно. Перемонтировать в "только для чтения", думаю  - не вариант: система вряд ли вообще сможет работать. А вот права доступа... Похоже, возвращаемся к настройке "пользователь-группа".

Сначала сделаю резервные копии Windows и Ubuntu на внешний винт, потом буду пробовать.

[ArcFi]

maks05, линукс — многопользовательская система, а это значит, что проектируется уже с учётом специфики разделения доступа к ресурсам.
Права в корне нормальные и вполне пригодны к использованию из коробки, не надо там ничего ломать.

возвращаемся к настройке "пользователь-группа"

Именно.