Как и чем ограничивать пользователей в правах?

[doctor_orz]

Дано: школа - ПК в разных кабинетах, библиотеке, у учителей на столах и в компьютерном классе. Сейчас там Windows. Права юзеров (детей) режутся при помощи локальных политик и дивной утилитки SteadyState. В библиотеке, например, вообще настроено так, что что бы юзер не вытворял, после ребута стоит свежая система. Ну, и вообще, т.к. уровень (и наличие мозгов) школьников разные, то весьма нужные разные ограничения. Вплоть до того, что бы на ПК можно было сделать только определенные действия: работа в браузере, в офисном пакете, просмотр и прослушивание медиа, запись дисков ну и что то по мелочи. Плюс в броузере нельзя ничего настроить-изменить - строго стартовая страница одна, один школьный прокси, нет сохранения паролей и хистори.

Нужно: реализовать это на Ubuntu. Внятных механизмов не нашел. Нашел выкладки, что типа, линукс тем и хорош, что его уронить нельзя, а раз нельзя, то и нефиг запрещать. В обычной жизни - возможно, но сейчас мы про школу говорим. Хотелось бы объяснений, ссылок, примеров. Заранее спасибо.

[dsh]

Варианты:
1. Создать пользователя "гость" и максимально ограничить его в правах.
2. Создавать на каждого свою учётную запись.
Групповых политик в linux нет.

[Sam Stone]

не первый пользователь (которого нет в sudoers), испоганить что-либо за пределами своей папки не сможет, ибо нет прав на запись. Максимум - убить своего юзера.
Следовательно надо вынести /home на отдельный раздел и либо принудительно при каждом ребуте восстанавливать из бекапа, либо просто держать чистый бекап в ожидании смерти (чтоб не затирать сохраненные файлы. Либо выделить под них какую-то отдельную папку, на сетевой шаре, например).
По поводу того, что юзер может запускать - почитать про права либо раскурить acl (дня должно хватить) и убрать права на выполнение у ненужных бинарников. Или можно использовать SELinux/AppArmor.
Про браузер навскидку ничего не скажу.

[ViktorAG]

users-admin Вам в помощь, там хорошая справка на великом и могучем.

[doctor_orz]

Спасибо за оперативность. Но, т.к. я с Ubuntu не так уж давно (месяца 3 только), то хотелось бы чуть подробнее (можно ссылками).
Где искать users-admin ? В гугле? Или в Ubuntu?
Про броузер я сам скажу, просто забыл как то про это.

почитать про права либо раскурить acl

А может подскажите, где лучше читать?

[ViktorAG]

Просто наберите в консоли.
users-admin
а потом кликните справку.
ЗЫ: Вот только сейчас заметил, что не полностью русифицирована, по крайней мере в Ubuntu9.10

[Sam Stone]

нагуглил это - http://sourceforge.net/projects/lethe/files/ (Alternative to Deep Freeze or Steady State)
acl
Managing Ubuntu Linux Users and Groups

[ArcFi]

Код: [Выделить]

$ aptitude show gdm-guest-session
Package: gdm-guest-session
State: installed
Automatically installed: no
Version: 0.14
Priority: optional
Section: gnome
Maintainer: Martin Pitt <martin.pitt@ubuntu.com>
Uncompressed Size: 86.0k
Depends: gdm (>= 2.27.90-0ubuntu2), passwd
Recommends: apparmor
Description: gdm extension for guest session
 This package adds support for starting a guest session through gdm's flexiserver, which any already logged in user can
 launch.
 
 It creates a temporary guest account with a temporary home directory and some restricted privileges (such as not being able
 to read any home directory or do any permanent change to the system).
 
 Just call /usr/share/gdm/guest-session/guest-session-launch to start the session.

$ dpkg -L gdm-guest-session
/.
/usr
/usr/share
/usr/share/gdm
/usr/share/gdm/guest-session
/usr/share/gdm/guest-session/Xsession
/usr/share/gdm/guest-session/guest-session-cleanup.sh
/usr/share/gdm/guest-session/guest-session-launch
/usr/share/gdm/guest-session/guest-session-setup.sh
/usr/share/xsessions
/usr/share/xsessions/guest-restricted.desktop
/usr/share/doc
/usr/share/doc/gdm-guest-session
/usr/share/doc/gdm-guest-session/README.Debian
/usr/share/doc/gdm-guest-session/copyright
/usr/share/doc/gdm-guest-session/changelog.gz
/etc
/etc/apparmor.d
/etc/apparmor.d/gdm-guest-session


[doctor_orz]

Вот только сейчас заметил, что не полностью русифицирована, по крайней мере в Ubuntu9.10

Угу, это ещё раньше я заметил, потому сюда и зашел
Гугль больше на ангельски разговаривает - я буков мало знаю, к сожалению (давно это было, да и немецкий я учил )
2ArcFi - это вот сейчас что тут такое было?
я ж говорю - у меня Ubuntu всего 3 месяца стоит, этому перевод на общечеловеческий желателен. Пожалуйста...

[ArcFi]

Это решение вашей задачи. Почти из коробки. После установки обработать напильником скрипты под свои нужды.