Jak mogę ograniczyć dostęp do programu innym użytkownikom?

12

Tworzę nowe konto użytkownika i chcę umożliwić dostęp tylko do niektórych programów tylko dla tego konta. Jak miałbym to robić?

permissions users Lyrositor
źródło
Możesz wyjaśnić, jakiego rodzaju programy (np. Mówisz o korzystaniu z GUI lub po prostu dostępu do powłoki z wiersza poleceń?).
JanC
Czy chcesz, aby nowe konto mogło (1) uruchamiać tylko część programów, z których wszyscy inni mogą korzystać (np. Chcesz, aby nowy użytkownik nie uruchamiał Firefoksa), czy chcesz, aby nowe konto (2) działało wszystko plus niektóre programy własnego wyłącznego dostępu? (Tj. W przypadku 2. tylko nowe konto będzie mogło uruchamiać program „foobar”, inni nie.)
Riccardo Murri
Wszelkie programy i chcę 1) uniemożliwić im na przykład uruchomienie Firefoksa.
Lyrositor,

Odpowiedzi:

13

Oto szybki sposób, aby to zrobić na przykładzie Firefoxa:

  1. Tworzyć grupę webusers
  2. zmień prawa binarnego firefox na 750 (root: rwx, webusers: rx) i własność na root:webusers
  3. dodaj do grupy wszystkich użytkowników, którym należy zezwolić na używanie Firefoxa webusers

Możesz oczywiście tworzyć grupy dla wszystkich poszczególnych programów. Oto polecenia do zrobienia tego.

sudo addgroup webusers
sudo chmod 750 /usr/bin/firefox
sudo chown root:webusers /usr/bin/firefox
sudo adduser alice webusers
sudo adduser bob webusers
Mniess
źródło
1
O ile rozumiem, jest to rozwiązanie na czarnej liście, prawda? Oznacza to, że musiałbym umieścić na czarnej liście wszystkie aplikacje - co nie jest zbyt praktyczne. Ponadto: Co dzieje się po następnej aktualizacji Firefoksa? Czy będę musiał zresetować uprawnienia /usr/bin/firefox?
Thomas W.
Aktualizacja nie powinna wpływać na uprawnienia do pliku. Jest to rozwiązanie na czarnej liście w tym sensie, że użytkownicy aplikacji na czarnej liście nie powinni być w stanie uruchomić, a rozwiązanie na białej liście w tym sensie, że należy umieścić na białej liście użytkowników, którzy powinni mieć możliwość uruchamiania aplikacji z czarnej listy.
mniess,
To rozwiązanie pomogło mi ograniczyć dostęp do programów przez zabronionego użytkownika, ale dozwoleni użytkownicy (w tym przykładzie Alice i Bob) również nie mają dostępu do programów ... Co zrobiłem źle?
Abraham Murciano Benzadon
3

Możesz zajrzeć do Pessulus i Gnome Nanny, aby zablokować konta użytkowników.

Aby zablokować określone programy, możesz użyć AppArmor. Nie ma prostej konfiguracji do osiągnięcia tego, co chcesz, ale oficjalna Wiki ma fajny artykuł na temat AppArmor: https://help.ubuntu.com/community/AppArmor

Mniess
źródło
Próbowałem Niania Gnome, nic nie mogłem poradzić. Co to jest Pessulus?
Lyrositor,
Pessulus to oficjalny edytor Gnome Lockdown.
mniess,
Przepraszam, chcę kontrolować poszczególne programy.
Lyrositor,