Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Запрет пользователю использование терминала  (Прочитано 12617 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Точно ли она сформулирована?
Нет, конечно. Это было очевидно с первого сообщения.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2099
    • Просмотр профиля
В графику попадать пользователь должен

Пользователь добавил сообщение 13 Ноябрь 2018, 07:01:17:
Подключение по сети по ssh и другиес истемные запрещены. ЭВМ автономная.
« Последнее редактирование: 13 Ноябрь 2018, 07:01:52 от Dzhoser »

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12072
  • Xubuntu 20.04 (64bit)
    • Просмотр профиля
Dzhoser, в графике есть виртуальный терминал (окно с башем внутри) - туда пользователю разрешается входить?
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2099
    • Просмотр профиля
В идеале нет егоже можно удалить?

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12072
  • Xubuntu 20.04 (64bit)
    • Просмотр профиля
В графике (в меню приложений) есть терминал - запустил и ты почти в полном аналоге tty.

Кроме того в графике есть команда run в которую можно передать вполне нормальную CLI команду. Это по сути аналог виртуального терминала, но на одну команду. Собственно этой командой можно и просто bash вызвать.

Кроме того в графике можно написать скрипт (в домашнем каталоге), дать ему права на исполнение (хозяин-барин: сам создал - сам с ним делай что хочешь) и запустить двойным кликом.

Еще виртуальный терминал (если его убрать из меню) можно открыть из шортката программы в /usr/share/applications.

...

Т.е. если задача не давать пользователю (который ходит в GUI) доступ к шелл-интерпретатору, то это задача не так проста как кажется. Любой пользователь что вхож в графику может найти лазейку и запустить шелл, интерпритатор питона (по сути тоже шелл) и кучу еще чего другого. Если пусти в графику, то считайте что уже пустили всюду.

Другое дело что пользователю можно попытаться обрезать прва на запуск только (допустим) интернет-браузера или какой-то специальной программы. И именно эту программу прописать вместо графической оболочки для пользователя. Но даже в таком решении (обычно такое называют "киоск") есть лазейки (зависит от GUI окружения).
« Последнее редактирование: 13 Ноябрь 2018, 10:32:01 от Sly_tom_cat »
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2099
    • Просмотр профиля
В графике (в меню приложений) есть терминал - запустил и ты почти в полном аналоге tty.
Ну в начале поста была тема по отключению терминала в графике. Тоесть нет в ubuntu такой группы чтобы ограничить пользователя?
« Последнее редактирование: 13 Ноябрь 2018, 14:14:51 от Azure »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Вы вообще на вопрос ответите? Что такого страшного вы хотите предотвратить своими действиями?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12072
  • Xubuntu 20.04 (64bit)
    • Просмотр профиля
AnrDaemon, Так пишет же :

Задача состоит в том,чтобы пользователь не попалал в консоль. Считаем что злоумышленник все знает о системе и обладает необходимыми знаниями для повышения привелегий.

Т.е. предполагается что злоумышленник попав в bash под собой сможет через него стать рутом, от этого ТС и желает предохраниться.

Но по моему это не решается просто запретом на доступ к TTY ибо слишком много вариантов получить bash, имея доступ в GUI и с-но физический доступ к компу. Ну а если говорить о физическом доступе (бесконтрольном), то там вообще средств защиты от злоумышленника мало. Только если комп выключен и залит в бетон - такое может дать гарантию против взлома, но тоже не 100%-ную. 
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Я могу стать рутом и без баша. Что за бред вообще?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2099
    • Просмотр профиля
Я могу стать рутом и без баша. Что за бред вообще?
Вопрос был не про баш,а ограничение пользователя на использование терминала. Если он не откроется,то вы ничего не повысите.
Расширенный функционал python заблокирован так
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Кто вам сказал такую глупость?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4306
  • Capture the truth
    • Просмотр профиля
(Нажмите, чтобы показать/скрыть)
А по факту - есть SELinux и гостевые учетки
« Последнее редактирование: 14 Ноябрь 2018, 03:01:21 от ALiEN175 »
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Есть и polkit, и apparmor…
Просто у ТС постановка задачи хромает на обе ноги и голову.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4306
  • Capture the truth
    • Просмотр профиля
у ТС заблуждение в том, что команды можно выполнять только в терминале/шелле.   
« Последнее редактирование: 14 Ноябрь 2018, 04:23:40 от ALiEN175 »
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2099
    • Просмотр профиля
у ТС заблуждение в том, что команды можно выполнять только в терминале/шелле.   
Просветите меня где еще можно выполнить команды? Гостевые учетки не сохраняют инфу пользователя как подправить?

 

Страница сгенерирована за 0.179 секунд. Запросов: 24.