Туда ни-ни

doctor@tardis · 05 декабря 2013, 19:38:46

Здрасти.

Хочу сделать так, чтобы юзер не мог "выйти" за пределы "home". Более того, желательно, чтобы и home он не открывал, а всего лишь парочку назначенных специально папок в домашнем каталоге.

Как это лучше всего сделать? Можно ли тупо закрыть доступ ко всей системе, а потом назначить парочку "доступных" папок? А при этом можно будет запускать программы? И желательно чтобы флешки и диски были доступны юзеру..

yura_n · 05 декабря 2013, 20:33:56

Цитата: doctor@tardis от 05 декабря 2013, 19:38:46Можно ли тупо закрыть доступ ко всей системе

А зачем? Сделайте так, чтобы пользователь не имел возможности стать суперпользователем. То есть, без доступа к sudo и su. К тем файлам, к которым хотите запретить доступ в домашней директории, примените команду chattr. То есть, так:

Код Выделить

chattr +i file_name
Пользователь их изменить не сможет. Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.

doctor@tardis · 05 декабря 2013, 20:46:09

yura_n, не, доступа к su не будет и так(меню опенбокса отключил, а терминал можно запустить только через хоткей), а sudo вообще даже не установлен))

Цитата: yura_n от 05 декабря 2013, 20:33:56
Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.

Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)
Поэтому мне нужна 100% блокада) Чтобы сделать систему не-убиваемой вообще)

а эта команда

Код Выделить

chattr +i file_name
будет позволять юзеру запускать программы? Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?

И все же, не могли бы вы мне помочь именно с моим вопросом?)

yura_n · 05 декабря 2013, 20:57:10

Цитата: doctor@tardis от 05 декабря 2013, 20:46:09Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)

Вы недооцениваете взрослых. Такие бывают персонажи...

Цитировать
будет позволять юзеру запускать программы?

Ну это зависит от того, как вы ее примените. Читать пользователь из таких файлов может без проблем. Однако, если вы ее примените к тем файлам, в которые ведется запись в ходе работы программ, то будут проблемы. Но вам, я так понимаю, нужно запретить лезть в конфиги, а туда запись обычно не ведется.

Цитировать
Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?

Если это ярлыки, то должно работать. Проверьте. Снять запрет несложно. Достаточно выполнить обратные действия (от рута, разумеется):

Код Выделить


chattr -i file_name

doctor@tardis · 05 декабря 2013, 21:12:35

yura_n, Спасибо! Попробовал, работает)

Скопировал в папку xterm, запретил изменять, далее открыл и спокойно создал в домашнем каталоге файл. А потом и удалил. Т.е. программы запись могут вести в домашнем каталоге. Это и нужно было)

И все же, как можно заблокировать просмотр домашнего каталога?) Заменить write/read на write only? Такое вообще бывает?))

Сообщение объединено: 05 декабря 2013, 21:19:35

Есть такое)) -wx

yura_n · 05 декабря 2013, 21:23:30

Цитата: doctor@tardis от 05 декабря 2013, 21:12:35Заменить write/read на write only? Такое вообще бывает?))

Разумеется. Это делается с помощью команды chmod и установки соответствующих битов на чтение, запись и.т.д.

doctor@tardis · 06 декабря 2013, 00:19:45

Это было очень очень очень глупое решение.. У меня из-за этого не открылись конфиги при запуске и система тупо не смогла запустить опенбокс.. И все.. А так как я еще на виртуальной машине, и пока не знаю, как там можно "захватить клавиатуру", чтобы можно было зайти в tty.. а то основная система заходила.. пришлось через виртуальный лайв сиди все исправлять)) Слава Богу все в порядке)

yura_n · 06 декабря 2013, 00:41:50

Цитата: doctor@tardis от 06 декабря 2013, 00:19:45Это было очень очень очень глупое решение..

Вы запретили чтение для всего домашнего каталога?

doctor@tardis · 06 декабря 2013, 00:44:05

yura_n, ага

Сообщение объединено: 06 декабря 2013, 00:46:44

Кстати, назрел еще вопрос по опенбоксу.. и, думаю, очень даже важный. Т.к. гугл бессилен..

Как править меню pcmanfm? В конфиге в домашнем каталоге нет упоминания о меню. В мане также. Я хде-то видел папку с файлами "меню", возможно там можно было бы посмотреть.. но не помню, где..

И вообще возможно ли это? Хочется удалить пару лишних пунктов..

Malaheenee · 06 декабря 2013, 10:28:01

doctor@tardis, никак не исправить. В качестве варианта - посмотреть в сторону spacefm (форк pcmanfm), там есть "режим конструктора".

doctor@tardis · 06 декабря 2013, 10:41:42

Malaheenee, Окей, так и сделаю) Спасибо)

I-Jurij · 13 декабря 2013, 17:42:05

Если еще актуально - здесь вот нечто интересное для ограничения прав пользователей http://liberatum.ru/exclusive/jailkit

doctor@tardis · 13 декабря 2013, 18:55:26

I-Jurij, довольно интересная программа! спасибо!