Wie stark können Benutzeraktionen eingeschränkt werden?

300
Alberto Martín

Ich muss einen Server (Linux, Ubuntu) 'S' als Brücke zwischen Clients und anderen lokalen Server 'LS' verwenden, die eine Reihe von Diensten anbieten, wie z. B. Datenbankzugriff über das Web oder Anwendungen, die auf ihnen laufen müssen (die anderen LSs ). .

Echte Beispiele:

Ich brauche Clients, um eine Verbindung zu S über SSH herzustellen, und dann müssen sie Firefox ausführen können, um auf LS1 zuzugreifen, um eine Datenbank über das Web zu verwalten.

Ich brauche Clients, um eine Verbindung zu S über SSH herzustellen, und dann müssen sie auf S Java Dsktop Apps ausgeführt werden können, die eine Verbindung zu externen Servern herstellen, um andere Aufgaben zu erledigen.

Kurz gesagt: Ich brauche Clients, um sich mit S zu verbinden, um das zu tun, was sie erwarten (einige von ihnen müssen nur eine Firefox-Instanz öffnen, andere müssen in der Lage sein, eine java.jar usw. auszuführen), und hoffentlich bauen sie sich nicht an sonst nichts tun

In Bezug auf Verbindungen kann ich die S- Firewall problemlos verwenden, um nur Verbindungen zu LSs zuzulassen . Da einige Clients jedoch gerne auf anderen Computern experimentieren, möchte ich ihre Aktionen auch über den einfachen Befehl "$ firefox" oder "einschränken" "$ java -jar someapp.jar".

Ich verwende Ubuntu 14.04 als Betriebssystem auf Servern. Offensichtlich kann ich Konten nicht auf "nur Firefox ausführen" oder "Diese JAR-Datei ausführen" beschränken, aber ich bin daran interessiert zu wissen: Wie stark könnte ich die Kontenaktionen begrenzen?

0
Es ist durchaus möglich, eine SSH-Sitzung auf nur eine ausführbare Datei zu beschränken. Diese ausführbare Datei kann dann die Ausführung eines kleinen Satzes anderer Befehle ermöglichen, beispielsweise über ein Menü. Schauen Sie sich das `command`-Feld in der` authorised_keys'-Datei an oder setzen Sie die Login-Shell des Benutzers in / etc / passwd. Beachten Sie, dass insbesondere Firefox möglicherweise nicht nur zu einer Webseite, sondern auch zu vielen anderen Aufgaben führt. a CVn vor 8 Jahren 0
Sie könnten sie auch auf ** S ** in eine eingeschränkte Umgebung mit wenigen Befehlen chrootieren. siehe [ein altes Beispiel] (https://help.ubuntu.com/community/BasicChroot). meuh vor 8 Jahren 0
Danke an beide; Die Idee von @Michael Kjörling scheint fast die ideale Lösung zu sein. Ich teste es und das einzige, was ich bisher nicht gelöst habe, ist zu vermeiden, dass Benutzer das lokale Dateisystem über den Webbrowser durchsuchen (sie sollten nur auf eine vordefinierte Domäne zugreifen). In der Tat habe ich Ihre Meinung zu Firefox berücksichtigt und benutze stattdessen Midori. Alberto Martín vor 8 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme