Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Как и чем ограничивать пользователей в правах?  (Прочитано 1576 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн doctor_orz

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Дано: школа - ПК в разных кабинетах, библиотеке, у учителей на столах и в компьютерном классе. Сейчас там винда. Права юзеров (детей) режутся при помощи локальных политик и дивной утилитки SteadyState. В библиотеке, например, вообще настроено так, что что бы юзер не вытворял, после ребута стоит свежая система. Ну, и вообще, т.к. уровень (и наличие мозгов) школьников разные, то весьма нужные разные ограничения. Вплоть до того, что бы на ПК можно было сделать только определенные действия: работа в браузере, в офисном пакете, просмотр и прослушивание медиа, запись дисков ну и что то по мелочи. Плюс в броузере нельзя ничего настроить-изменить - строго стартовая страница одна, один школьный прокси, нет сохранения паролей и хистори.

Нужно: реализовать это на Ubuntu. Внятных механизмов не нашел. Нашел выкладки, что типа, линукс тем и хорош, что его уронить нельзя, а раз нельзя, то и нефиг запрещать. В обычной жизни - возможно, но сейчас мы про школу говорим. Хотелось бы объяснений, ссылок, примеров. Заранее спасибо.

Оффлайн dsh

  • Участник
  • *
  • Сообщений: 229
    • Просмотр профиля
Варианты:
1. Создать пользователя "гость" и максимально ограничить его в правах.
2. Создавать на каждого свою учётную запись.
Групповых политик в linux нет.

Оффлайн Sam Stone

  • Старожил
  • *
  • Сообщений: 1124
    • Просмотр профиля
не первый пользователь (которого нет в sudoers), испоганить что-либо за пределами своей папки не сможет, ибо нет прав на запись. Максимум - убить своего юзера.
Следовательно надо вынести /home на отдельный раздел и либо принудительно при каждом ребуте восстанавливать из бекапа, либо просто держать чистый бекап в ожидании смерти (чтоб не затирать сохраненные файлы. Либо выделить под них какую-то отдельную папку, на сетевой шаре, например).
По поводу того, что юзер может запускать - почитать про права либо раскурить acl (дня должно хватить) и убрать права на выполнение у ненужных бинарников. Или можно использовать SELinux/AppArmor.
Про браузер навскидку ничего не скажу.
16.04.1 4.4.0-59-generic x86_64 GNU/Linux

Оффлайн ViktorAG

  • Активист
  • *
  • Сообщений: 530
    • Просмотр профиля
users-admin Вам в помощь, там хорошая справка на великом и могучем.
Все мы вылезли из винды.
$ sudo chmod +x  мечта

Оффлайн doctor_orz

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Спасибо за оперативность. Но, т.к. я с Ubuntu не так уж давно (месяца 3 только), то хотелось бы чуть подробнее (можно ссылками).
Где искать users-admin ? В гугле? Или в Ubuntu?
Про броузер я сам скажу, просто забыл как то про это.
Цитировать
почитать про права либо раскурить acl
А может подскажите, где лучше читать?

Оффлайн ViktorAG

  • Активист
  • *
  • Сообщений: 530
    • Просмотр профиля
Просто наберите в консоли.
users-admin
а потом кликните справку.
ЗЫ: Вот только сейчас заметил, что не полностью русифицирована, по крайней мере в Ubuntu9.10
« Последнее редактирование: 12 Январь 2010, 14:11:46 от ViktorAG »
Все мы вылезли из винды.
$ sudo chmod +x  мечта

Оффлайн Sam Stone

  • Старожил
  • *
  • Сообщений: 1124
    • Просмотр профиля
нагуглил это - http://sourceforge.net/projects/lethe/files/ (Alternative to Deep Freeze or Steady State)
acl
Managing Ubuntu Linux Users and Groups
16.04.1 4.4.0-59-generic x86_64 GNU/Linux

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
$ aptitude show gdm-guest-session
Package: gdm-guest-session
State: installed
Automatically installed: no
Version: 0.14
Priority: optional
Section: gnome
Maintainer: Martin Pitt <martin.pitt@ubuntu.com>
Uncompressed Size: 86.0k
Depends: gdm (>= 2.27.90-0ubuntu2), passwd
Recommends: apparmor
Description: gdm extension for guest session
 This package adds support for starting a guest session through gdm's flexiserver, which any already logged in user can
 launch.
 
 It creates a temporary guest account with a temporary home directory and some restricted privileges (such as not being able
 to read any home directory or do any permanent change to the system).
 
 Just call /usr/share/gdm/guest-session/guest-session-launch to start the session.

$ dpkg -L gdm-guest-session
/.
/usr
/usr/share
/usr/share/gdm
/usr/share/gdm/guest-session
/usr/share/gdm/guest-session/Xsession
/usr/share/gdm/guest-session/guest-session-cleanup.sh
/usr/share/gdm/guest-session/guest-session-launch
/usr/share/gdm/guest-session/guest-session-setup.sh
/usr/share/xsessions
/usr/share/xsessions/guest-restricted.desktop
/usr/share/doc
/usr/share/doc/gdm-guest-session
/usr/share/doc/gdm-guest-session/README.Debian
/usr/share/doc/gdm-guest-session/copyright
/usr/share/doc/gdm-guest-session/changelog.gz
/etc
/etc/apparmor.d
/etc/apparmor.d/gdm-guest-session

Оффлайн doctor_orz

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Вот только сейчас заметил, что не полностью русифицирована, по крайней мере в Ubuntu9.10
Угу, это ещё раньше я заметил, потому сюда и зашел :(
Гугль больше на ангельски разговаривает - я буков мало знаю, к сожалению (давно это было, да и немецкий я учил :()
2ArcFi - это вот сейчас что тут такое было?
я ж говорю - у меня Ubuntu всего 3 месяца стоит, этому перевод на общечеловеческий желателен. Пожалуйста...

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Это решение вашей задачи. Почти из коробки. После установки обработать напильником скрипты под свои нужды.

 

Страница сгенерирована за 0.056 секунд. Запросов: 22.