Автор Тема: Туда ни-ни  (Прочитано 2630 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн doctor@tardis

Туда ни-ни
« : 05 Декабря 2013, 19:38:46 »
Здрасти.

Хочу сделать так, чтобы юзер не мог "выйти" за пределы "home". Более того, желательно, чтобы и home он не открывал, а всего лишь парочку назначенных специально папок в домашнем каталоге.

Как это лучше всего сделать? Можно ли тупо закрыть доступ ко всей системе, а потом назначить парочку "доступных" папок? А при этом можно будет запускать программы? И желательно чтобы флешки и диски были доступны юзеру..
 

yura_n

  • Гость
Re: Туда ни-ни
« Ответ #1 : 05 Декабря 2013, 20:33:56 »
Можно ли тупо закрыть доступ ко всей системе
А зачем? Сделайте так, чтобы пользователь не имел возможности стать суперпользователем. То есть, без доступа к sudo и su. К тем файлам, к которым хотите запретить доступ в домашней директории, примените команду chattr. То есть, так:
chattr +i file_nameПользователь их изменить не сможет. Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #2 : 05 Декабря 2013, 20:46:09 »
yura_n, не, доступа к su не будет и так(меню опенбокса отключил, а терминал можно запустить только через хоткей), а sudo вообще даже не установлен))

Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.

Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)
Поэтому мне нужна 100% блокада) Чтобы сделать систему не-убиваемой вообще)

а эта команда
chattr +i file_nameбудет позволять юзеру запускать программы? Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?

И все же, не могли бы вы мне помочь именно с моим вопросом?)
 

yura_n

  • Гость
Re: Туда ни-ни
« Ответ #3 : 05 Декабря 2013, 20:57:10 »
Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)
Вы недооцениваете взрослых. Такие бывают персонажи... ;D
Цитировать
будет позволять юзеру запускать программы?
Ну это зависит от того, как вы ее примените. Читать пользователь из таких файлов может без проблем. Однако, если вы ее примените к тем файлам, в которые ведется запись в ходе работы программ, то будут проблемы. Но вам, я так понимаю, нужно запретить лезть в конфиги, а туда запись обычно не ведется.
Цитировать
Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?
Если это ярлыки, то должно работать. Проверьте. Снять запрет несложно. Достаточно выполнить обратные действия (от рута, разумеется):
chattr -i file_name
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #4 : 05 Декабря 2013, 21:12:35 »
yura_n, Спасибо! Попробовал, работает)

Скопировал в папку xterm, запретил изменять, далее открыл и спокойно создал в домашнем каталоге файл. А потом и удалил. Т.е. программы запись могут вести в домашнем каталоге. Это и нужно было)

И все же, как можно заблокировать просмотр домашнего каталога?) Заменить write/read на write only? Такое вообще бывает?))

Сообщение объединено: 05 Декабря 2013, 21:19:35
Есть такое)) -wx
« Последнее редактирование: 05 Декабря 2013, 21:19:35 от doctor@tardis »
 

yura_n

  • Гость
Re: Туда ни-ни
« Ответ #5 : 05 Декабря 2013, 21:23:30 »
Заменить write/read на write only? Такое вообще бывает?))
Разумеется. Это делается с помощью команды chmod и установки соответствующих битов на чтение, запись и.т.д.
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #6 : 06 Декабря 2013, 00:19:45 »
Это было очень очень очень глупое решение.. У меня из-за этого не открылись конфиги при запуске и система тупо не смогла запустить опенбокс.. И все.. А так как я еще на виртуальной машине, и пока не знаю, как там можно "захватить клавиатуру", чтобы можно было зайти в tty.. а то основная система заходила.. пришлось через виртуальный лайв сиди все исправлять)) Слава Богу все в порядке)
 

yura_n

  • Гость
Re: Туда ни-ни
« Ответ #7 : 06 Декабря 2013, 00:41:50 »
Это было очень очень очень глупое решение..
Вы запретили чтение для всего домашнего каталога? ;D
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #8 : 06 Декабря 2013, 00:44:05 »
yura_n, ага  ::)  :-X

Сообщение объединено: 06 Декабря 2013, 00:46:44
Кстати, назрел еще вопрос по опенбоксу.. и, думаю, очень даже важный. Т.к. гугл бессилен..

Как править меню pcmanfm? В конфиге в домашнем каталоге нет упоминания о меню. В мане также. Я хде-то видел папку с файлами "меню", возможно там можно было бы посмотреть.. но не помню, где..

И вообще возможно ли это? Хочется удалить пару лишних пунктов..
« Последнее редактирование: 06 Декабря 2013, 00:46:44 от doctor@tardis »
 

Оффлайн Malaheenee

Re: Туда ни-ни
« Ответ #9 : 06 Декабря 2013, 10:28:01 »
doctor@tardis, никак не исправить. В качестве варианта - посмотреть в сторону spacefm (форк pcmanfm), там есть "режим конструктора".
Все мы где-то, когда-то и в чем-то были новичками.
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #10 : 06 Декабря 2013, 10:41:42 »
Malaheenee, Окей, так и сделаю) Спасибо)
 

Оффлайн I-Jurij

Re: Туда ни-ни
« Ответ #11 : 13 Декабря 2013, 17:42:05 »
Если еще актуально - здесь вот нечто интересное для ограничения прав пользователей http://liberatum.ru/exclusive/jailkit
 

Оффлайн doctor@tardis

Re: Туда ни-ни
« Ответ #12 : 13 Декабря 2013, 18:55:26 »
I-Jurij, довольно интересная программа! спасибо!
 

Теги: