Всего по немногу

[Kirin]

Есть ряд задач:
Необходимо создать двух пользователей в системе: user и user2.

Пользователю user2 надо:
1. Закрыть доступ ко всем портам и сайтам, кроме двух сайтов www.ru, www2.ru
2. Запретить доступ ко всем USB, кроме одного (оставить доступ к одному USB)
3. Заблокировать принтер
4. Заблокировать CD - ROM

Пользователю user надо: Разрешить все и даже то что запрещено пользователю user2

Как это все сделать?
P.S. я бы и сам порылся да разобрался, если бы не одно но: времени на  это мало, а надо.

[karabaduba]

Как новичок в Убунте могу только прокоментировать, что пользователя нужно создать одного - с ограничениями, пользователь - "могу все" у вас по умолчанию заведется или скорее все уже есть! =)) Ну и вконце концов есть - sudo -  Так что в список ваших ограначений на user2 он не должен быть sudoer.

З.Ы. А как поставить все эти ограничения вам раскажут старейшины, я пока не знаю, да и не нужно оно мне. =)

З.З.Ы. А если нет времени ставьте винду и не выпендривайтесь 

[Kirin]

З.З.Ы. А если нет времени ставьте винду и не выпендривайтесь 

Дело не в "выпендривайтесь", а в том что необходимо установить ubuntu в компании на все ПК. Почему не windows? Зачем платить за лицензию windows, когда от всех компьютеров в этой организации требуются функции: постоянный доступ на 2 сайта + печатать и работать с офисным ПО?

[Shurik2k5]

Для ограничения доступа к сайту ставьте прокси через squid и настраивайте правила. А насчет usb и cd-rom'ов отвертка Вам поможет шутка конечно, но если совсем нужно, то сидюк можно вытащит, а насчет usb - то можно просто в правах юзера запретить юзать сменные диски и cd-rom'ы (снять галку автоматически получать доступ к сменным носителям)

[Kirin]

Для ограничения доступа к сайту ставьте прокси через squid и настраивайте правила. А насчет usb и cd-rom'ов отвертка Вам поможет шутка конечно, но если совсем нужно, то сидюк можно вытащит, а насчет usb - то можно просто в правах юзера запретить юзать сменные диски и cd-rom'ы (снять галку автоматически получать доступ к сменным носителям)

Спасибо, но мне надо запретить доступ не ко всем USB, доступ к одному USB необходимо оставить

[dmig]

так, про прокси уже сказали: с ним всё просто - настраивается авторизация.
usb-cdrom -- ещё проще у второго юзера отобрать членство в группах plugdev и cdrom.
насчёт одного USB -- это что значит? один порт? одна флэшка?
касательно принтера -- механизм такой же, только группу я не знаю, кажется lpadmin. но тут на самом деле проще: у пользователя без прав на sudo не создавать принтера, а сам он его создать не сможет.

в общем, примерно такая схема:
1. создаёшь второго юзера в системе (он по умолчанию бесправный)
2. глобально в /etc/... прописываешь настройки прокси (почитай доки, как сделать прозрачную авторизацию), на прокси настраиваешь ограничения доступа
3. на вкладке "привилегии" апплета "настройки пользователей" снимаешь желаемые галки

по идее всё (или почти всё)

[karabaduba]

. Почему не windows? Зачем платить за лицензию windows, когда от всех компьютеров в этой организации требуются функции: постоянный доступ на 2 сайта + печатать и работать с офисным ПО?

тогда батенька наберитесь терпения и времени и наслаждайтесь! =) это как секс чтобы получить удовольствие нужно найти потратить немного времени! 

[Kirin]

Dmig, большое спасибо!

По поводу USB:
Надо на одном из пользователей (например user 2) отрубить все USB контролеры, но при этом один контролер оставить рабочим, а если конкретний: в один из USB всегда будет вставлен USB модем и "заклеен пломбой" (чтобы не вытащили и не вставили в этот USB например "флешку"), а все остальные USB не должны работать.

[dmig]

Dmig, большое спасибо!

По поводу USB:
Надо на одном из пользователей (например user 2) отрубить все USB контролеры, но при этом один контролер оставить рабочим, а если конкретний: в один из USB всегда будет вставлен USB модем и "заклеен пломбой" (чтобы не вытащили и не вставили в этот USB например "флешку"), а все остальные USB не должны работать.

тогда просто снимается указанная галочка. если модем перестанет работать -- надо будет подкрутить правило udev, чтобы права доступа к модему были другими.

ЗЫ а на кой он вообще нужен -- модем? если в пределех одного офиса -- лучше по сети (учитывая, что материнок без сетевой карты уже наверное и не выпускают), если же нет -- лучше вставить модем внутренний, на PCI -- так будет надёжнее.

[Kirin]

ЗЫ а на кой он вообще нужен -- модем? если в пределех одного офиса -- лучше по сети (учитывая, что материнок без сетевой карты уже наверное и не выпускают), если же нет -- лучше вставить модем внутренний, на PCI -- так будет надёжнее.

В том и дело что офис не один. А общая БД находиться в интернете. Модем имеиться веду 3G USB.

тогда просто снимается указанная галочка. если модем перестанет работать -- надо будет подкрутить правило udev, чтобы права доступа к модему были другими.

Не понимаю, ubunt - ой первый раз пользую, можно подробней?

[dmig]

модем будет в каждой машине?
при учёте того, что будет присутствовать прокси-сервер, гораздо логичнее было бы воткнуть модем туда. можно даже не один (для расширения канала) -- тут придётся вкурить доки по распараллеливанию использования каналов.

ЗЫ в случае с модемом скорее всего ничего дополнительно настраивать не придётся.

[shame]

В настройках принтера в графическом режиме указывается кому предоставлен доступ. С этим проблем не должно быть.

[Kirin]

Dmig, очень помог, Громаднейшее человеческое спасибо. И всем кто принимал участие в обсуждении моей темы - Спасибо!
Ответы все вроде получил, буду пробовать, если что еще буду спрашивать:)

Еще вопрос , какие привилегии входят в группу plugdev?

[dmig]

лучше пользуйся апплетом настройки пользователей -- там есть просто галочка для доступа к сменным носителям.
а чем используется группа plugdev -- можно увидеть в /dev

[Kirin]

Dmig Спасибо!