1

В Linux возможно ли установить белый список исполняемых файлов для определенной группы пользователей? Мне нужно, чтобы они не могли использовать, например, make, gcc и исполняемые файлы на съемных дисках.
Как это может быть сделано?

Изменить, позвольте мне объяснить лучше.

Я имею дело с ИТ-системой старшей школы, молодыми фанатами, которые (на уроках) хотят играть, путешествовать по сети, повредить эти компьютеры, насколько они могут. Главным шагом к достижению этой цели было удаление системы, с которой они знакомы, и установка Ubuntu на всех компьютерах. Это на самом деле работает довольно хорошо, но недавние события доказали, что этого недостаточно.
Я хочу позволить им запускать определенные безопасные программы, такие как Open Office, и запрещать любую другую программу, будь то предустановленное программное обеспечение, что-то, что они несут на USB-накопителях, загруженную программу или сценарий, который они программируют на сайте.
Можно удалить разрешение «x» для любого файла на ПК, но, конечно, это будет нецелесообразно. Кроме того, они смогут запускать все, что загружают.
Я думал, что лучшим решением было бы составить белый список безопасных программ и отрицать что-либо еще, но я не знаю, как это сделать. Любая идея полезна.

|источник

2 ответа2

0

Я не совсем понимаю, что вы имеете в виду, но если вы хотите разрешить пользователям из определенной группы запускать определенные команды, то это можно сделать так в /etc/sudoers:

%dev user=(root)NOPASSWD:/usr/bin/make, /usr/bin/gcc
|источник
0

Удалите ДРУГИЕ разрешения из файлов в /bin /sbin /usr /bin /usr /sbin /usr /local /bin /usr /local /sbin (и т.д., До тошноты!)

Поскольку их пользователь не находится в корневой группе, они не могут запускать какие-либо программы.

Чтобы разрешить определенным программам, установите для ДРУГИХ разрешений значение rx (5)... это позволит им использовать эту программу.

Вы также можете создать группу и добавить в нее определенных пользователей. Изменение группы рассматриваемой программы разрешит доступ ТОЛЬКО пользователям. Это позволило бы более привилегированному набору студентов больше возможностей.

Конечно, если после ВСЕГО этого ... немногие все еще могут выйти в интернет и делать что угодно ... хвалить их! Поздравь их! Потому что они все еще знают, как думать и решать вещи.

Я не рекомендую использовать chmod для всех программ ... они все еще нужны, чтобы иметь возможность войти в систему, запустить графический интерфейс и еще много чего.

Это действительно только поднимает планку, так как я могу придумать несколько способов обойти это. (Но опять же, я думаю, что я немного дальше по пути обучения).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .