Zulassen / Ablehnen von Apps pro Benutzer unter Linux

582
rvcabc

Gibt es eine Möglichkeit, lange Zeit eine Whitelist für eine oder mehrere Gruppen / Anwendungsbenutzer zu haben, die sie öffnen können? Beispiel: Benutzer 1 und Benutzer 2 können nur Firefox und Benutzer 3 Firefox und Libre Office öffnen. Alles andere ist auf alle Benutzer beschränkt, mit Ausnahme von Benutzer 4, der sich öffnen und tun kann, was er will.

0

2 Antworten auf die Frage

1
Kamil Maciorowski

Ein klassischer Weg, um zu steuern, wer eine bestimmte ausführbare Datei ausführen kann, sieht folgendermaßen aus foo:

  1. Mit chownmake fooausführbar gehören zur fooGruppe.
  2. Mit chmodden Berechtigungen so festlegen, dass nur der Eigentümer und die Gruppe die Datei ausführen können.
  3. Weisen Sie den Benutzern nach Bedarf Benutzer zu.

Dies ist keine gute Lösung, wenn Sie dies für viele (alle?) Ausführbaren Dateien in Ihrem System durchführen müssen. Wenn Sie einen bestimmten Benutzer auf einen engen Satz möglicher Befehle beschränken möchten, sollten Sie das Thema der eingeschränkten Shell untersuchen .

Ich habe bdsh gefunden . Sieht vielversprechend aus (obwohl ich es selbst nie benutzt habe):

bdsh ist eine Shell, in der Sie Whitelist-Befehle ausführen und nur diese Befehle ausführen können.

Einige andere (neuere?) Ähnliche Lösungen können existieren.

BEARBEITEN: Lesen Sie auch Wie man Benutzerbefehle in Linux bei Stack Overflow einschränkt .

Würden sie nur Firefox öffnen? Ich verstehe chmod, aber chown ist für mich etwas verwirrender. rvcabc vor 7 Jahren 0
Es tut uns leid. Ich arbeite schon seit Monaten daran und in meinem Kopf werden Worte durcheinander geraten. Ich muss ein Konto erstellen, das nur auf ein bestimmtes Programm zugreifen kann. Alles andere muss blockiert werden. Ich baue an meinem Arbeitsplatz ein kleines Schulsystem auf. Ich brauche jeden Computer, um eine Verbindung zu einem DC herzustellen, aber ich möchte nicht, dass sie das umgehen, indem Sie einfach die Programme des Linux-Computers verwenden. Wenn das Sinn macht rvcabc vor 7 Jahren 0
@rvcabc Was meinst du mit "DC"? Ich möchte sichergehen, dass es hier kein [XY-Problem] (https://meta.stackexchange.com/a/66378/355310) gibt. Kamil Maciorowski vor 7 Jahren 0
Das hört sich ungefähr an. Mit DC meine ich Domänencontroller. rvcabc vor 7 Jahren 0
@rvcabc Nun, meine Antwort ist möglicherweise nicht die bestmögliche. Ich denke, Sie sollten Ihre Frage bearbeiten und all diese Erklärungen dort platzieren. Sie haben mir wirklich geholfen, dein Problem besser zu verstehen. Andere Benutzer sollten sie im Fragen-Body sehen, sie werden nicht alle Kommentare lesen. Nachdem Sie dies getan haben, können Sie Ihre Kommentare hier löschen. Kamil Maciorowski vor 7 Jahren 0
@rvcabc Ich habe einen Link zu einer anderen Frage hinzugefügt. Kamil Maciorowski vor 7 Jahren 0
0
xenoid

Nicht getestet, aber mögliche Lösung:

  1. Entfernen Sie das 'ausführbare' Bit für allgemeine Benutzer von / usr / bin (und möglicherweise einigen anderen) (dies verhindert, dass sie etwas in / usr / bin lesen können)
  2. Erstellen Sie ein Verzeichnis mit Hardlinks zu den autorisierten Apps in / usr / bin
  3. Stellen Sie ihren PFAD so ein, dass er darauf zeigt

Verwandte Probleme