Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Белый список программ с помощью sudoers  (Прочитано 1995 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Noein

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Подскажите пожалуйста как мне оставить пользователю test1 возможность запускать только текстовый редактор gpedit и 3 exe файла "exe1", "exe2", "exe3", расположенные в папке /run ? :-\
Ubuntu Desktop 14.04 x64

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1269
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #1 : 27 Января 2016, 16:34:25 »
Набрать команду
sudo visudo
откроется файл /etc/sudoerst в текущем редакторе (скорее всего nano). Нужно добавить строчку:
test1  ALL = /usr/bin/gedit, /run/exe*
Пользователь решил продолжить мысль 27 Января 2016, 16:36:46:
В смысле, запускать с правами суперпользователя или вообще запускать?
« Последнее редактирование: 27 Января 2016, 16:36:46 от Heider »

Оффлайн Azure

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 6017
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #2 : 27 Января 2016, 18:48:19 »
запускать ... 3 exe файла
Ubuntu Desktop 14.04 x64
EXE? В каталоге /run на Ubuntu??? O_o Я сплю????
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

Оффлайн Noein

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #3 : 28 Января 2016, 08:05:10 »
В смысле, запускать с правами суперпользователя или вообще запускать?
Вообще запускать

Пользователь решил продолжить мысль [time]28 Январь 2016, 09:06:47[/time]:
EXE? В каталоге /run на Ubuntu??? O_o Я сплю????

Да, я слегка оговорился :(. Эти exe будут запускаться под Wine
« Последнее редактирование: 28 Января 2016, 08:07:20 от Noein »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1269
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #4 : 28 Января 2016, 10:45:01 »
В смысле, запускать с правами суперпользователя или вообще запускать?
Вообще запускать
Вы хорошо подумали? Тогда gedit не сможет запустить ни одного дочернего процесса, я даже не берусь предсказать, как он будет работать... Пользователь не сможет выйти из системы, выключить компьютер, запустить браузер и т.п.

Впрочем, можете попробовать на виртуалке и нам расскажете, что получилось. Нужно лишить всех пользователей права запускать все файлы:
Вредный совет удален модератором

Включить себя в группу root и группу того пользователя
sudo usermod -a -G test1,root $USERчтобы самому иметь возможность запускать любые команды

Для gedit и wine изменить группу на test1
Вредный совет удален модератором

Но повторюсь еще раз. Не советую это мутить на рабочей системе. Проверьте сначала на виртуальной машине.
« Последнее редактирование: 28 Января 2016, 10:55:35 от Sly_tom_cat »

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Белый список программ с помощью sudoers
« Ответ #5 : 28 Января 2016, 10:56:22 »
Heider, если еще будете постить команды которые напрочь убивают систему - то выдам РО на недельку (для изучения матчасти).
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Белый список программ с помощью sudoers
« Ответ #6 : 28 Января 2016, 10:59:54 »
Noein, вам нужно очень серьезно продумать модель разграничения прав.
Отрезать все права - не просто нельзя, а банально опасно (особенно если таких ухарей как Heider слушать).
Для начала создайте тестового пользователя и пробуйте понемногу у этого пользователя отбирать права.

Но не в коем случае не правьте права на системные файлы.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн Noein

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #7 : 28 Января 2016, 12:43:30 »
В том то и суть, что цель машины - запускать 3 программы через Wine. А пользователь который будет с ней работать должен помимо работы с программой максимум иметь возможность редактировать обычные текстовые файлы на рабочем столе. То есть юзер не должен иметь возможность ни браузер открыть, ни в настройки залезть, ни какую-то стороннюю программу запустить ни за пределы рабочего стола вылезти.

Все остальные изменения в случае чего должен удаленно админ, через тимвьювер.
Вот такую задачу мне поставили и я ищу способы её реализовать  ???

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Белый список программ с помощью sudoers
« Ответ #8 : 28 Января 2016, 12:46:47 »
Ну как видится...
Во-первых все ненужное снести или разворачивать систему из минималCD, поставив минимум миниморум (принцип "нет программы - нет проблемы ее запуска").
Далее лимитированный пользователь, которому режем все ненужное.
Такую систему лчше всего прорабатывать на виртуалке.

Программы вайна - они както взаимосвязаны? и нужен вообще оконный менеджер? А то можно и вариант аля киоска продумать (приммеры реализации в сети найти можно).
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн Noein

  • Автор темы
  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: Белый список программ с помощью sudoers
« Ответ #9 : 28 Января 2016, 12:59:33 »
Ну как видится...
Во-первых все ненужное снести или разворачивать систему из минималCD, поставив минимум миниморум (принцип "нет программы - нет проблемы ее запуска").
Далее лимитированный пользователь, которому режем все ненужное.
Такую систему лчше всего прорабатывать на виртуалке.

Программы вайна - они както взаимосвязаны? и нужен вообще оконный менеджер? А то можно и вариант аля киоска продумать (приммеры реализации в сети найти можно).
Вот мне и хотелось узнать как создать лимитированного пользователя и порезать все ненужное и чем, я в линуксах совсем недавно :)

Программы да, связаны друг с другом и подключаются на вышестоящий сервер.

Может я выбрал неправильный путь начав с sudoers и есть другое решение?
На данный момент я попробовал acl, теперь пользователь не может запустить программу которую может запустить учетка созданная при установке ОС. Но дальше я пока не продвинулся ибо блокировать в acl надо корневые пути, а какие именно я не знаю :(
« Последнее редактирование: 28 Января 2016, 13:20:03 от Noein »

 

Страница сгенерирована за 0.038 секунд. Запросов: 25.