Posso restringir um usuário a usar programas especiais?

14

É possível adicionar um usuário e restringi-lo a executar programas especiais?
Por exemplo, depois que o usuário faz login, ele pode abrir o Firefox apenas para usar a Internet e nenhum outro programa pode ser executado por esse usuário.
Por exemplo, em um terminal, os comandos não estarão acessíveis quando você excluir algumas variáveis ​​de ambiente, como $ HOME.
Mas é possível evitar a execução de programas em um shell gráfico, como o Gnome? Se sim, como?

M0εiπ
fonte
4
Isso normalmente é conhecido como kiosk modemas não tenho certeza sobre o estado no gnome 3. Consulte tranzistors.wordpress.com/2012/05/23/… para obter mais detalhes. De acordo com fedoraproject.org/wiki/Features/InitialExperience gnome-shell tem algum tipo de modo quiosque
Ulrich Dangel

Respostas:

4

Você pode remover permissões de execução para os binários que não deseja que o usuário execute. Crie um novo grupo, altere as permissões de execução ( chmod go-rwx) e adicione o usuário desejado ao grupo. (Isso é semelhante a como apenas certos usuários têm permissão para usar o sudocomando.)

Dependendo do que você deseja alcançar, a chroot jail também pode ser útil. Caso você esteja planejando ter uma configuração semelhante a um quiosque, existem ferramentas de bloqueio para o KDE (Kiosk Tool) e o GNOME (Sabayon). Se o Firefox é tudo o que você deseja permitir, consulte o Webconverger. Caso esteja planejando configurar uma rede de quiosques, pesquise no Google Libki. Se a segurança for fundamental, você também pode refinar os recursos de programas individuais usando o AppArmor ou o SELinux.

utcursch
fonte
Não estou adicionando isso como resposta porque não o tenho testado há muito tempo, mas você pode alterar o shell de login do usuário (em / etc / passwd, acredito) para executar um comando ou script arbitrário em vez do padrão que lhes permite acesso total ao usuário normal. Você só precisa testar seu comando / script para garantir que o usuário não possa sair dele.
21412 Joe
"Você pode remover permissões de execução para os binários que você não deseja que o usuário execute." <- e quanto a outros usuários ???
Konrad Gajewski 10/01