Туда ни-ни

Автор doctor@tardis, 05 декабря 2013, 19:38:46

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

doctor@tardis

Здрасти.

Хочу сделать так, чтобы юзер не мог "выйти" за пределы "home". Более того, желательно, чтобы и home он не открывал, а всего лишь парочку назначенных специально папок в домашнем каталоге.

Как это лучше всего сделать? Можно ли тупо закрыть доступ ко всей системе, а потом назначить парочку "доступных" папок? А при этом можно будет запускать программы? И желательно чтобы флешки и диски были доступны юзеру..

yura_n

Цитата: doctor@tardis от 05 декабря 2013, 19:38:46Можно ли тупо закрыть доступ ко всей системе
А зачем? Сделайте так, чтобы пользователь не имел возможности стать суперпользователем. То есть, без доступа к sudo и su. К тем файлам, к которым хотите запретить доступ в домашней директории, примените команду chattr. То есть, так:
chattr +i file_name
Пользователь их изменить не сможет. Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.

doctor@tardis

yura_n, не, доступа к su не будет и так(меню опенбокса отключил, а терминал можно запустить только через хоткей), а sudo вообще даже не установлен))

Цитата: yura_n от 05 декабря 2013, 20:33:56
Вот и все, нет особого смысла огород городить, учитывая что вы создаете систему для детей.

Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)
Поэтому мне нужна 100% блокада) Чтобы сделать систему не-убиваемой вообще)

а эта команда
chattr +i file_name
будет позволять юзеру запускать программы? Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?

И все же, не могли бы вы мне помочь именно с моим вопросом?)

yura_n

Цитата: doctor@tardis от 05 декабря 2013, 20:46:09Я люблю детей, но у детей есть уникальная особенность, они могут сломать даже то, что не сможет сломать взрослый)
Вы недооцениваете взрослых. Такие бывают персонажи... ;D
Цитировать
будет позволять юзеру запускать программы?
Ну это зависит от того, как вы ее примените. Читать пользователь из таких файлов может без проблем. Однако, если вы ее примените к тем файлам, в которые ведется запись в ходе работы программ, то будут проблемы. Но вам, я так понимаю, нужно запретить лезть в конфиги, а туда запись обычно не ведется.
Цитировать
Допустим в каталоге Desktop есть парочка файлов для запуска программ, мне нужно заблокировать возможность их удаления, так вот, применив эту команду, юзер сможет по-прежнему работать в этой программе и даже создавать файлы при необходимости?
Если это ярлыки, то должно работать. Проверьте. Снять запрет несложно. Достаточно выполнить обратные действия (от рута, разумеется):

chattr -i file_name

doctor@tardis

#4
yura_n, Спасибо! Попробовал, работает)

Скопировал в папку xterm, запретил изменять, далее открыл и спокойно создал в домашнем каталоге файл. А потом и удалил. Т.е. программы запись могут вести в домашнем каталоге. Это и нужно было)

И все же, как можно заблокировать просмотр домашнего каталога?) Заменить write/read на write only? Такое вообще бывает?))

Сообщение объединено: 05 декабря 2013, 21:19:35

Есть такое)) -wx

yura_n

Цитата: doctor@tardis от 05 декабря 2013, 21:12:35Заменить write/read на write only? Такое вообще бывает?))
Разумеется. Это делается с помощью команды chmod и установки соответствующих битов на чтение, запись и.т.д.

doctor@tardis

Это было очень очень очень глупое решение.. У меня из-за этого не открылись конфиги при запуске и система тупо не смогла запустить опенбокс.. И все.. А так как я еще на виртуальной машине, и пока не знаю, как там можно "захватить клавиатуру", чтобы можно было зайти в tty.. а то основная система заходила.. пришлось через виртуальный лайв сиди все исправлять)) Слава Богу все в порядке)

yura_n

Цитата: doctor@tardis от 06 декабря 2013, 00:19:45Это было очень очень очень глупое решение..
Вы запретили чтение для всего домашнего каталога? ;D

doctor@tardis

#8
yura_n, ага  ::)  :-X

Сообщение объединено: 06 декабря 2013, 00:46:44

Кстати, назрел еще вопрос по опенбоксу.. и, думаю, очень даже важный. Т.к. гугл бессилен..

Как править меню pcmanfm? В конфиге в домашнем каталоге нет упоминания о меню. В мане также. Я хде-то видел папку с файлами "меню", возможно там можно было бы посмотреть.. но не помню, где..

И вообще возможно ли это? Хочется удалить пару лишних пунктов..

Malaheenee

doctor@tardis, никак не исправить. В качестве варианта - посмотреть в сторону spacefm (форк pcmanfm), там есть "режим конструктора".
Все мы где-то, когда-то и в чем-то были новичками.

doctor@tardis

Malaheenee, Окей, так и сделаю) Спасибо)

I-Jurij

Если еще актуально - здесь вот нечто интересное для ограничения прав пользователей http://liberatum.ru/exclusive/jailkit

doctor@tardis

I-Jurij, довольно интересная программа! спасибо!