Ограничение возможностей пользователя.

[Yurror]

Ок. noexec уже лучше. с этого стоило начинать.
Поместишь весь /home на раздел с noexec? запретишь вообще всем в системе заниматься разработкой ПО?
Я положу бинарник в /tmp =) поставишь noexec на корень??? выделишь под /tmp noexec раздел? интересно сколько приложений откажутся работать после такого финта?
ну тогда у меня есть предложение номер два

Код: [Выделить]

yurik@vox:/mnt/yurik$ mount | grep mnt
/home/yurik/image on /mnt type ext2 (rw,noexec,loop=/dev/loop0)
yurik@vox:/mnt/yurik$ cat test.pl
#!/usr/bin/perl -w

print "Hello, world!\n";
exit 0;
yurik@vox:/mnt/yurik$ perl test.pl
Hello, world!
Выбор языков весьма широк. Начиная с шела и заканчивая java и C#
Увы. чтобы запретить все и полностью тебе придется попотеть.
Какой там у нас счет? Я же говорил пользователи изобретательны и их изобретательность повышается когда им что-то запрещают.

Начнем с вопроса что конкретно надо запретить и для какой цели.
Убрать пункты менюшек настройки интерфейса??? чтобы пользователи сами себе не навредили? и для этого вешать noexec? ну это извините диагноз.

* Yurror уже набирает номер психиатрической клиники

[S.Tokarev]

1)

Открою большой секрет. В ОС UNIX не существует способа запретить пользователю сделать что-либо. Если ядро ОС в принципе допускает что-либо то выполнить данную операцию не есть проблема.

Вы писали - Вас носом ткнули.
2) А какие приложения откажутся работать с noexec /tmp ? Вирусы ?
3) Если система не позволяет администратору контролировать эту систему, то это недостаток жесточайший.

Какой там у нас счет? Я же говорил пользователи изобретательны и их изобретательность повышается когда им что-то запрещают.

Значит всё-таки цирк ? Могу пойти на поводу у Вас ответив примерно так: В покере не важно хороша ли ваша "рука" - важно чттобы она была хоть чуточку но лучьше других.
А если не на поводу, то система - не полигон для соревнования в изобретательности. Придёт лесник (админ) и запросто всех разгонит (применит политики).

С перлом пример тоже из цирка? Если перл запрещён на выполнение, то будет такой же облом. А программистам стоит компилировать программы в спецкаталоги а не к себе домой. И именно эти области будут под серьёзным вниманием. Естественно всё описывается разрешениями.

выделишь под /tmp noexec раздел?

А умные люди всегда так делают. По крайней мере линк на подкаталог такого раздела. Или это тоже секрет ?

Вывод таков:
При желании администратор может запрещать и разрешать что угодно и кому угодно практически без модификации ядра. А если захочет, то всем и всё. Зачем это надо ? Это не наше дело.
А если система этого не позволяет, то это уже не система, а бардак.

[Yurror]

S.Tokarev сильно далеко забурился в лес...
Я к тому что pskovgrad будет долго и упорно обрезать пользователям по 1 концу пока не перекроит дистрибутив под себя. Но это будет уже далеко не то классическое UNIX окружение к которому все привыкли.
А все поверхностные изменения легко обойдутся. Смысл их делать?
Все что может навредить системе требует прав суперпользователя. Если пользователь их не имеет все будет в порядке и не надо ни кому запрещать настройки интерфейса и среды окружения для себя.

[S.Tokarev]

Во-первых мне почему-то кажется, что у pskovgrad пользователи далеко не "привыкли" к "классическому UNIX окружению".
Во-вторых далеко не всем требуется "классическое UNIX окружение".
Иначе у pskovgrad вопрос не встал бы.
В-третьих проблема не во вреде системе, а во вреде пользователю. Что толку если система будет "работать", а пользователи не смогут ею воспользоваться. Админ просто запарится. Более того любопытные пользователи будут своё время тратить и админу лишние вопросы задавать.

Конечно, несмотря на то, что в принципе и в идеале существует защита от дурака, но на самого дурака даже идеальная защита от него не распространяется.

Для меня же принципиальным является то, что кто-то думает, что администратор не в состоянии контролировать линукс. Такое даже винде трудно предъявить.

[xxx]

У меня так-же бва вопроса экспертам от ограничениях пользователей.
Можно ли сделать так, чтобы пользователь с понедельника по пятницу не мог сидеть за компом более 2-х часов и то, после 17:00, а в субботу и воскресенье не более 4-х часов за день?
И второй, так-же ограничить время пользования инетом?

Сам я в Linus полный ноль, стоит Ubuntu 8.04 Desktop Edition.

[Vadi]

Может ето поможет: http://tombuntu.com/index.php/2008/05/27/how-to-lock-down-gnome/

Но нащёт интернета - не знаю, ето мечта многих родителей...

[MA3X]

Если хочешь закрыть редактирование меню - найди, где сидит alacarte и либо грохни, либо сними с нее исполняемость.

ЗЫЖ А от какого уровня продвинутости пользователя хочешь закрыть настройки и для чего?

ЗЗЫЖ. Если пользователь имеет физический доступ к компу, то все ограничения - временное явление.

[MA3X]

У меня так-же бва вопроса экспертам от ограничениях пользователей.
Можно ли сделать так, чтобы пользователь с понедельника по пятницу не мог сидеть за компом более 2-х часов и то, после 17:00, а в субботу и воскресенье не более 4-х часов за день?
И второй, так-же ограничить время пользования инетом?

Сам я в Linus полный ноль, стоит Ubuntu 8.04 Desktop Edition.

Инет через что?
Если через модем или VPN, то можно тупо запихать в cron ежеминтуное убиение pppd в недопущенное время.
Если через шлюз - то опусканием той сетевушки, через которую оно идет.

Читаем маны, примерно получается вот такое:

* 0-16,19-23 * * * killall pppd
#с нуля до 16-59 и с 19-00 до 29 каждую минуту убивается инет.
* 0-16,19-23 * * * ifdown eth0
# кладется сетевая карточка.

Если инет поступает другим образом - действовать по аналогии.
В общем, курить маны по cron & crontab и извращаться соответственно.

[xxx]

2 Vadi
MA3X

Большое спасибо! Есть над чем работать

Controlling Logins By Time
http://skindley.wordpress.com/2006/12/11/fedora-core-6-controlling-logins-by-time/

[Bkmz]

А чтобы получить пароль супер пользователя, сильно извращаться тоже не надо. Просто в конец строки загрузки в грубе дописать  single  и потом можно спокойно изменить рутовский пароль. Если конечно на груб пароля нет, то тогда все! Юзер имеет неограниченные права

[graddata]

Спасибо за ответы, хотя не понял к чему большинство их. В принципе выше мне ответили на мои вопросы.
У меня действительно пользователи не готовы к гномовскому интерфейсу.  И надо ставить это массово. Разумеется доступа к консоли нету, да даже если есть то уровень их консоливания = 0.

[gkskirkir]

Вобще я бы почитал эту тему.
http://www.ibm.com/developerworks/ru/edu/l-lockdown1/index.html

[graddata]

Вобще я бы почитал эту тему.
http://www.ibm.com/developerworks/ru/edu/l-lockdown1/index.html

и к чему ты это? Там преимущественно RedHat описан. Там описана защита от админов с помощью других админов, более главных.
Для обычных юзверей - это не имеет смысла.

[gkskirkir]

Вобще я бы почитал эту тему.
http://www.ibm.com/developerworks/ru/edu/l-lockdown1/index.html

и к чему ты это? Там преимущественно RedHat описан. Там описана защита от админов с помощью других админов, более главных.
Для обычных юзверей - это не имеет смысла.

Вобще-то там больше Ubuntu расписана, а еще есть вторая часть http://www.ibm.com/developerworks/ru/edu/l-lockdown2/index.html
Там как раз темы с имплантированием ключей в бинарники, те можно подписать только то что можно исполнять и например если пользователь принесет какое-то ПО на стороннем насителе дабы вскрыть систему, оно просто не запустится.

[graddata]

gkskirkir
Спасибо, *улыбнуло*
Представил, как юзер штатный пытается включить что нибудь на убунте, без sudo вообще. )))))))))))
Код, конечно не плохо поправить, но это решение не есть верное в большинстве случаев. Требуется графическая приблуда, где в окнах можно сделать.
Разговор тут ведётся именно об Гноме, тк в КДЕ есть соответствующая утилита.