Редактирование прав юзеров (группы), создать ограничения

[daemon66]

Всем доброго! Похоже форум непопулярен,... но попробую.
Машина с ХUbuntu 24.04, есть 4 пользователя, создал аккаунты, добавил в группу Users.
Задача этих юзеров- заходят по RDP, запускают Браузер, почту, сохраняют в HOME директорию.
Терминал им отключил, но когда захожу под ИХ логином на рабочем столе ярлыки: HOME -ok и "файловая система"
Так-же в списке программы: все что есть на сервере.
Задачи: надо чтобы Юзер видел и имел доступ только к НОМЕ директории, и не видел ВСЮ файловую систему. Сейчас запустив ярлык ВСЯ файловая система ему   доступна.
Отредактировать меню, чтобы ему были доступны определенные программы ( всем из группы USERS одинаково)
Маны про ограничение прав читал, но там конкретно примеры на конкретный файл, а про директории не вижу, если дать доступ Только к НОМЕ дирректории, смогут они запускать программы? или
 

[Usermaster]

если дать доступ Только к НОМЕ дирректории, смогут они запускать программы?

Откуда они их будут запускать?
Джеймс Бонд, чего ты там от них прятать хочешь?

[F12]

daemon66, по сути ты хочешь создать пользователя(ей) с определенным набором прав, как например в Гостевом сеансе?

(Нажмите, чтобы показать/скрыть)

Ограниченный доступ к файлам:
    Гостевой сеанс не дает доступа к домашним директориям других пользователей, что обеспечивает конфиденциальность их данных.

Временные изменения:
    Все изменения, сделанные гостевым пользователем (создание файлов, изменение настроек), сбрасываются при его выходе из сеанса.

Доступ к системе:
    Гость может запускать программы и пользоваться системой, как если бы это был "чистый" сеанс после установки ОС.

Просмотр корневой файловой системы:
    Гостевой пользователь может просматривать и читать файлы в корневой директории (/), за исключением домашних папок других пользователей

В принципе (при желании или по необходимости) можно добавить дополнительные ограничения или изменить имеющиеся разрешения для любого пользователя, манипулируя его членством в группах, т.к. в Ubuntu разрешения управляются через группы.

Можно посмотреть, в какие группы включён например пользователь Guest (разумеется если в твоей системе включен гостевой сеанс и настроена Гостевая учётная запись), с помощью команды

Код: [Выделить]

cat /etc/group | grep guest   ... удаление пользователя из группы отменит для него разрешение характерные для этой группы, ну и наоборот, добавляя пользователя в определенную группу ты предоставляешь ему разрешения характерные для этой группы

Описание основных специализированных групп использующихся в Debian-based дистрах можно посмотреть в Debian Wiki.

[Peter_I]

Вообще это называется режим киоска. Я не знаю, есть ли в ubuntu специальные средства
для его поддержки, в Astra Linux есть.

[daemon66]

Спасибо за информацию, вроде уже нарыл, что корень не закрыть, обзор ФС будет, сделать с ней они ничего не смогут.
Права через группы- это хорошо, но гостевой группы я не вижу, может потому что система не серверная а обычная десктоп.
А группа wheels существует (оффтоп)? Возможно у меня паранойя, и прав USERS будет достаточно?
Теперь еще порезать рабочий стол им, вроде на след напал, /usr/share/application через нее все?     

[F12]

Peter_I, ну если ТС действительно нужен именно режим киоска, то и в Ubuntu он тоже есть

GNOME Kiosk provides a desktop environment suitable for fixed purpose, or
 single application deployments like wall displays and point-of-sale systems.
 .
 It provides a very minimal wayland display server and compositor and Xorg
 compositor and window manager. It automatically starts applications fullscreen.
 .
 Notably, GNOME Kiosk features no panels, dashes, or docks that could distract
 from the application using it as a platform.

   ... а для полного счастья можно добавить ещё и плагин киоска для Remmina

Description: Kiosk plugin for Remmina
 Remmina is a remote desktop client written in GTK+, aiming to be
 useful for system administrators and travellers, who need to work
 with lots of remote computers in front of either large monitors or
 tiny netbooks.
 .
 Remmina supports multiple network protocols in an integrated and
 consistent user interface.
 .
 Currently RDP, VNC, SPICE, WWW, X2Go, EXEC and SSH are supported.
 .
 This package contains the Kiosk plugin for Remmina.

[kmk]

Задачи: надо чтобы Юзер видел и имел доступ только к НОМЕ директории, и не видел ВСЮ файловую систему. Сейчас запустив ярлык ВСЯ файловая система ему   доступна.

Гуглоперевод отрывка из этой англоязычной темы.

Почему блокировка пользователей в их домашнем каталоге — это немного глупо

Чтобы сделать что-то полезное, пользователям нужен доступ к командам и приложениям. Они находятся в таких каталогах, как /bin и /usr/bin, поэтому, если вы не скопируете все необходимые команды оттуда в их домашние каталоги, пользователям понадобится доступ к /bin и /usr/bin. Но это только начало. Приложениям нужны библиотеки из /usr/lib и /lib, которым, в свою очередь, нужен доступ к системным ресурсам, находящимся в /dev, и к файлам конфигурации в /etc и /usr/share.

Это была только часть, доступная только для чтения. Приложениям также понадобятся каталоги /tmp и, зачастую, /var для записи. Поэтому, если вы хотите ограничить пользователя его домашним каталогом, вам придётся скопировать в него много данных. Фактически, практически целую базовую файловую систему, которая у вас уже есть и расположена в /.

[daemon66]

Я в принципе так и предположил, что система скорее всего не даст работать. Убедительно, больше не буду,
Гостевая сессия или Киоск не подойдет, т.к. им всё-таки надо что-то сохранять, а не заходить в девственно чистую систему, и все с нуля.
Ставлю вопрос немного по другому, у меня XFCE (xubu)  по умолчанию в системе Thunar, и можно ли как-то его отредактировать, чтобы Юзер заходя в свой аккаунт, в файлменеджере не видел ярлык на Файловую систему? По факту ему кроме Документы, Рабочий стол смотреть нечего. Может другой файлменеджер использовать?

[ALiEN]

в файлменеджере не видел ярлык на Файловую систему?

Просто удалить его, не?

А вообще, если уж так надо не позволять видеть лишнее - заведите отдельные виртуалочки.

И еще правильнее - поставить изначальную задачу, а не спрашивать решения решений.
Почему в вашем случае вы запрещаете пользователям смотреть файловую систему?

[F12]

Гостевая сессия или Киоск не подойдет, т.к. им всё-таки надо что-то сохранять, а не заходить в девственно чистую систему, и все с нуля.

- в Ubuntu можно добавить нужное количество учёток с типом пользователя "Стандартный" (т.е. не Администратор, а именно Стандартный), такой пользователь не может вносить изменения в систему, и у него нет доступа к чужим хомякам, в то же время он абсолютно не ограничен в приделах собственного хомяка

[daemon66]

>>(т.е. не Администратор, а именно Стандартный)
Это группа USERS? методом тыка понял, что обзор ФС не страшен, и на этом остановился. Администратор некошерно в NIX - ROOT
>>Просто удалить его, не?
Покопался, и нашел, оказывается просто галочку убрать надо
Можно сказать, решено, меню покоцал, лишнее со стола убрал. Давно я в Linuxе не копался,  теперь квоту натянуть бы еще, в манах как-то мудрено все.

[F12]

daemon66, из соображений безопасности учётная запись root в Ubuntu по умолчанию отключена (root, это Суперпользователь, а не Администратор, не путать!).
Для выполнения административных задач в Ubuntu используется команда sudo, но использовать эту команду позволено не любому пользователю, а только входящим в группу sudo, вот они то и относятся к Администраторам.