Запрет пользователю использование терминала

[AnrDaemon]

Точно ли она сформулирована?

Нет, конечно. Это было очевидно с первого сообщения.

[Dzhoser]

В графику попадать пользователь должен
Пользователь добавил сообщение 13 Ноября 2018, 07:01:17:Подключение по сети по ssh и другиес истемные запрещены. ЭВМ автономная.

[Sly_tom_cat]

Dzhoser, в графике есть виртуальный терминал (окно с башем внутри) - туда пользователю разрешается входить?

[Dzhoser]

В идеале нет егоже можно удалить?

[Sly_tom_cat]

В графике (в меню приложений) есть терминал - запустил и ты почти в полном аналоге tty.

Кроме того в графике есть команда run в которую можно передать вполне нормальную CLI команду. Это по сути аналог виртуального терминала, но на одну команду. Собственно этой командой можно и просто bash вызвать.

Кроме того в графике можно написать скрипт (в домашнем каталоге), дать ему права на исполнение (хозяин-барин: сам создал - сам с ним делай что хочешь) и запустить двойным кликом.

Еще виртуальный терминал (если его убрать из меню) можно открыть из шортката программы в /usr/share/applications.

...

Т.е. если задача не давать пользователю (который ходит в GUI) доступ к шелл-интерпретатору, то это задача не так проста как кажется. Любой пользователь что вхож в графику может найти лазейку и запустить шелл, интерпритатор питона (по сути тоже шелл) и кучу еще чего другого. Если пусти в графику, то считайте что уже пустили всюду.

Другое дело что пользователю можно попытаться обрезать прва на запуск только (допустим) интернет-браузера или какой-то специальной программы. И именно эту программу прописать вместо графической оболочки для пользователя. Но даже в таком решении (обычно такое называют "киоск") есть лазейки (зависит от GUI окружения).

[Dzhoser]

В графике (в меню приложений) есть терминал - запустил и ты почти в полном аналоге tty.

Ну в начале поста была тема по отключению терминала в графике. Тоесть нет в ubuntu такой группы чтобы ограничить пользователя?

[AnrDaemon]

Вы вообще на вопрос ответите? Что такого страшного вы хотите предотвратить своими действиями?

[Sly_tom_cat]

AnrDaemon, Так пишет же :

Задача состоит в том,чтобы пользователь не попалал в консоль. Считаем что злоумышленник все знает о системе и обладает необходимыми знаниями для повышения привелегий.

Т.е. предполагается что злоумышленник попав в bash под собой сможет через него стать рутом, от этого ТС и желает предохраниться.

Но по моему это не решается просто запретом на доступ к TTY ибо слишком много вариантов получить bash, имея доступ в GUI и с-но физический доступ к компу. Ну а если говорить о физическом доступе (бесконтрольном), то там вообще средств защиты от злоумышленника мало. Только если комп выключен и залит в бетон - такое может дать гарантию против взлома, но тоже не 100%-ную. 

[AnrDaemon]

Я могу стать рутом и без баша. Что за бред вообще?

[Dzhoser]

Я могу стать рутом и без баша. Что за бред вообще?

Вопрос был не про баш,а ограничение пользователя на использование терминала. Если он не откроется,то вы ничего не повысите.
Расширенный функционал python заблокирован так

(Нажмите, чтобы показать/скрыть)

find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;

[AnrDaemon]

Кто вам сказал такую глупость?

[ALiEN]

(Нажмите, чтобы показать/скрыть)

Если он не откроется,то вы ничего не повысите.

напомнило

А по факту - есть SELinux и гостевые учетки

[AnrDaemon]

Есть и polkit, и apparmor…
Просто у ТС постановка задачи хромает на обе ноги и голову.

[ALiEN]

у ТС заблуждение в том, что команды можно выполнять только в терминале/шелле.   

[Dzhoser]

у ТС заблуждение в том, что команды можно выполнять только в терминале/шелле.   

Просветите меня где еще можно выполнить команды? Гостевые учетки не сохраняют инфу пользователя как подправить?