Bagaimana saya bisa membatasi akses program ke pengguna lain?

12

Saya sedang menyiapkan akun pengguna baru, dan saya ingin mengizinkan akses hanya ke program tertentu untuk akun itu saja. Bagaimana saya berkeliling melakukan itu?

permissions users Perwira
sumber
Anda mungkin ingin menjelaskan jenis program apa (mis. Anda berbicara tentang menggunakan GUI atau hanya akses shell commandline?).
JanC
Apakah Anda ingin akun baru dapat (1) mengeksekusi hanya sebagian dari program yang dapat digunakan orang lain (misalnya, Anda ingin pengguna baru tidak menjalankan Firefox), atau apakah Anda ingin akun baru (2) dijalankan semuanya ditambah beberapa program akses eksklusifnya sendiri? (Yaitu, dalam kasus 2. hanya akun baru yang dapat menjalankan program "foobar", orang lain tidak akan.)
Riccardo Murri
Setiap program, dan saya ingin 1) mencegah mereka menjalankan Firefox, misalnya.
Perwakilan

Jawaban:

13

Berikut adalah cara cepat untuk melakukannya dengan firefox sebagai contoh:

  1. Buat grup webusers
  2. ubah hak binari firefox menjadi 750 (root: rwx, webusers: rx) dan kepemilikan untuk root:webusers
  3. tambahkan semua pengguna yang seharusnya diizinkan menggunakan firefox ke grup webusers

Anda tentu saja dapat membuat grup untuk semua program individual. Berikut adalah perintah untuk melakukannya.

sudo addgroup webusers
sudo chmod 750 /usr/bin/firefox
sudo chown root:webusers /usr/bin/firefox
sudo adduser alice webusers
sudo adduser bob webusers
mniess
sumber
1
Sejauh yang saya mengerti, ini adalah solusi daftar hitam, bukan? Ini berarti saya harus daftar hitam semua aplikasi - yang tidak terlalu praktis. Juga: Apa yang terjadi setelah pembaruan firefox berikutnya? Apakah saya harus mengatur ulang izin /usr/bin/firefox?
Thomas W.
Pembaruan seharusnya tidak memengaruhi izin pada file. Ini adalah solusi daftar hitam dalam arti bahwa Anda harus memasukkan aplikasi ke daftar hitam yang seharusnya tidak dapat dijalankan oleh pengguna dan solusi daftar putih dalam arti bahwa Anda harus memasukkan daftar putih pada pengguna yang seharusnya dapat menjalankan aplikasi yang masuk daftar hitam.
mniess
Solusi ini telah membantu saya membatasi pengguna terlarang untuk mengakses program dengan sukses, tetapi pengguna yang diizinkan (Alice dan Bob dalam contoh ini) juga tidak diperbolehkan mengakses program ... Apa yang telah saya lakukan salah?
Abraham Murciano Benzadon
3

Anda mungkin ingin melihat Pessulus dan Gnome Nanny untuk mengunci akun pengguna.

Untuk mengunci program tertentu, Anda dapat menggunakan AppArmor. Tidak ada konfigurasi sederhana untuk mencapai apa yang Anda inginkan, tetapi Wiki resmi memiliki artikel yang bagus tentang AppArmor: https://help.ubuntu.com/community/AppArmor

mniess
sumber
Saya mencoba Gnome Nanny, tidak bisa membantu. Apa itu Pessulus?
Perwakilan
Pessulus adalah editor resmi Gnome Lockdown.
mniess
Maaf, saya ingin mengontrol setiap program.
Perwakilan