Bisakah saya membatasi pengguna untuk menggunakan program khusus?

14

Apakah mungkin menambahkan pengguna dan membatasi dia untuk menjalankan program khusus?
Misalnya setelah pengguna ini masuk, ia hanya bisa membuka Firefox untuk menggunakan Internet dan tidak ada program lain yang dapat dijalankan oleh pengguna ini.
Sebagai contoh di terminal, perintah tidak akan dapat diakses ketika Anda menghapus beberapa variabel lingkungan seperti $ HOME.
Tetapi apakah mungkin untuk menghindari menjalankan program dalam cangkang grafis, seperti Gnome? Jika ya, bagaimana?

M0εiπ
sumber
4
Ini biasanya disebut sebagai kiosk modetetapi saya tidak yakin tentang keadaan di gnome 3. Lihat tranzistors.wordpress.com/2012/05/23/… untuk lebih jelasnya. Menurut fedoraproject.org/wiki/Features/InitialExperience gnome-shell memiliki semacam mode kios
Ulrich Dangel

Jawaban:

4

Anda dapat menghapus izin eksekusi untuk binari yang tidak Anda inginkan dijalankan oleh pengguna. Buat grup baru, ubah izin eksekusi ( chmod go-rwx), dan tambahkan pengguna yang diinginkan ke grup. (Ini mirip dengan bagaimana hanya pengguna tertentu yang diizinkan menggunakan sudoperintah.)

Bergantung pada apa yang ingin Anda capai, penjara chroot mungkin juga berguna. Jika Anda berencana memiliki pengaturan seperti kios, ada alat pengunci untuk KDE (Alat Kios) dan GNOME (Sabayon). Jika hanya Firefox yang ingin Anda izinkan, lihat Webconverger. Jika Anda berencana membuat jaringan kios, google Libki. Jika keamanan sangat penting, Anda juga dapat memperbaiki kemampuan masing-masing program menggunakan AppArmor atau SELinux.

utcursch
sumber
Saya tidak menambahkan ini sebagai jawaban karena saya belum mencobanya dalam waktu yang lama, tetapi Anda dapat mengubah shell login pengguna (di / etc / passwd, saya percaya) untuk menjalankan perintah atau skrip sewenang-wenang alih-alih dari default yang memungkinkan mereka akses pengguna normal penuh. Anda hanya perlu menguji perintah / skrip Anda untuk memastikan pengguna tidak dapat keluar darinya.
Joe
"Anda dapat menghapus izin eksekusi untuk binari yang tidak Anda inginkan dijalankan oleh pengguna." <- bagaimana dengan pengguna lain ???
Konrad Gajewski