Меню
Что нового?

Тонкое ограничение доступа к ПО

tonchikp

tonchikp

Новичок
Уважаемые форумчане! Требуется ваша помощь!

Вопрос про тонкое ограничение прав к программному обеспечению..
Интересует возможно ли сделать подобное. а если возможно то как именно?
Поделитесь пожалуйста своими идеями, мыслями..

В наличии:
  • Операционная система Linux
    (предположим Ubuntu-производный)
  • Пользователь-A-взрослый(№1)
    (проще говоря умеющий бережно обращаться с системой)
  • Пользователь-B-ребёнок(№1)
    (проще говоря лезущий везде и возможно нажимающий все клавиши подряд и всё такое)
  • Пользователь-C-подросток(№1)
    (проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе,
    предположим удалить что-то чужое, или системное)
  • ПО-1-Браузер(№2)
    (должен быть доступен всем)
  • ПО-2-Файловый менеджер(№2)
    (должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше,
    если не возможно, то хотя бы остальное видел в режиме только для чтения)
  • ПО-3-IDE(№2)
    (должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)
(№1) - Здесь важен именно фактор поведения, а возрастной признак дан условно, для лучшего представления..
(№2) - Здесь важен именно фактор ограничения доступа к ПО, причём тонкого ограничения, а тип ПО дан условно..
 

AnrDaemon

Продвинутый новичок
Ответ один - отдельные аккаунты и рабочая система резервного копирования.
Человек, имеющий ФИЗИЧЕСКИЙ доступ к железу, по определению может сделать с ним всё, что захочет.
Вообще всё.
 
tonchikp

tonchikp

Новичок
AnrDaemon написал(а):
Ответ один - отдельные аккаунты и рабочая система резервного копирования. Человек, имеющий ФИЗИЧЕСКИЙ доступ к железу, по определению может сделать с ним всё, что захочет. Вообще всё.
Нажмите для раскрытия...
Спасибо за ответ
Может конечно глупость скажу.. А может как-то можно права на исполняющий файл выставить (chmod ..0), и владельцем прописать "взрослого" (chown), программа в этом случае не сможет запускаться? (не будем брать механический взлом, пусть только программный)
 

AnrDaemon

Продвинутый новичок
Вопрос - ЗАЧЕМ это делать?
Если ваш ребёнок хочет поиграться с IDE в своём домашнем каталоге - ну пусть играется, на вас это как-то влияет?
Паранойя - хорошее качество системного администратора, до тех пор, пока он не начинает её демонстрировать окружающим.
Просто убедитесь, что у него нет доступа к вашим проектам (его не должно быть по умолчанию), а дальше пусть что хочет делает.
 
Фанат

Фанат

oncle terrible
Команда форума
Непонятно, кто мешает сделать разные системы для всех.
 
fixxxer

fixxxer

К.О.
Партнер клуба
Если не рассматривать физический доступ, стандартного разделения прав достаточно. Ну запустит IDE из своего хомяка, и что, я бы наоборот радовался, может, заинтересуется. 750 на хомяк вполне достаточно. Не, ну если очень хочется - можно 750 + root:adultUserGroup на бинари или заморочиться с AppArmor.

Главное не забыть поставить пароль на bios setup и grub. Уж как через grub или с флешки сбросить рутовый пароль, разберется даже ребенок :)
 
Последнее редактирование:
Hello

Hello

Новичок
tonchikp написал(а):
  • ПО-1-Браузер(№2)
    (должен быть доступен всем)
  • ПО-2-Файловый менеджер(№2)
    (должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше,
    если не возможно, то хотя бы остальное видел в режиме только для чтения)
  • ПО-3-IDE(№2)
    (должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)
Нажмите для раскрытия...
Первые две задачи уже решены, если не давать администратора для пользователя B и C
Для 3-ей создать пользователя/группу ide-runner, и назначить его владельцем IDE с правами 0750. Добавить пользователя A в группу ide-runner.
 
Войдите или зарегистрируйтесь для ответа.
Сверху