Omezeni uzivatele jen na vybrane aplikace

[JS]

Potreboval bych aby urcity uzivatel napr. "deti" mohly spoustet jen vybrane aplikace napr. "firefox"? Pouzivam Lubuntu, ale asi se to od Ubuntu lisit nebude.
Dekuji za odpoved.

[Rover623]

To je trochu oříšek, je několik možností jak to udělat.

Tou nejméně elegantní je přesunout všechny nechtěné spouštěče z /usr/share/aplications do svého /home pod /.local/share/aplications

Tím ovšem jen skryješ spouštěče tak aby je viděl jen uživatel v jehož profilu jsou nakopírované

Elegantnější možností, je přidat se do skupiny "root" a u vybraných spouštěčů nastavit práva tak aby je ostatní uživatelé nemohli spouštět.

Opět to ale neřeší, že vybraný program lze spustit přímo.

Spustitelné binárky najdeš v /usr/bin, zde můžeš použít předchozí postup, všem ostatním uživatelům zakážeš jakýkoli přístup k souborům. Takovou binárku potom nezvládne zavolat ani systém, pokud poběží v uživatelském profilu, který nemá přístup.

[ntz_reloaded]

pokud nedas detem heslo na roota a maji svuj ucet, tak si snad mohou spoustet co se jim zlibi, ne .. jde o to, ze aby system bezel tak jak ma, tak i deti budou potrebovat spoustet spoustu podpurnych utilit z /bin a /usr/bin

[JS]

pokud nedas detem heslo na roota a maji svuj ucet, tak si snad mohou spoustet co se jim zlibi, ne .. jde o to, ze aby system bezel tak jak ma, tak i deti budou potrebovat spoustet spoustu podpurnych utilit z /bin a /usr/bin

Sorry nechci resit "proc?", ale "jak?". To s detmi je jen takovy priklad.
Diky za pochopeni.

[ntz_reloaded]

podle me se to neda udelat .. precti si, co pise rover .. pokdu mas takovehle specificke prani tak prosim zagugli .. muzes vytvorit profil pro deti, ze ktereho odstranis vsechny aplikace co nechces vc terminalu, i kdyz si nedokazu dobre predstavit, jak to bude fungovat ..

[JS]

podle me se to neda udelat .. precti si, co pise rover .. pokdu mas takovehle specificke prani tak prosim zagugli .. muzes vytvorit profil pro deti, ze ktereho odstranis vsechny aplikace co nechces vc terminalu, i kdyz si nedokazu dobre predstavit, jak to bude fungovat ..

Goggtlit jsem samozrejme googlil, ale nic poradneho nenasel. Kazdopadne diky za Tvuj cas.

[Rover623]

Vzhledem k tomu, že vše co není v uživatelském profilu musí už z principu věci být přístupné všem. Je tohle taková obezlička která funguje, ale netuším jestli to nebude mít nějaký dopad na chod systému. Nicméně, absence spouštěčů by neměla ničemu vadit.

[beer]

Co takhle dát ty aplikace do skupin. Například, aby firefox mohl spouštět jen někdo, tak bych udělal skupinu firefox, změnil nad spouštěčem (případně nad samotnou binárkou) vlastníka (

Kód: [Vybrat]

chown root:firefox /cesta/soubor), přes chmod bych nastavil práva třeba na 750 (

Kód: [Vybrat]

chmod 750 /cesta/soubor). Uživatel, který nebude ve skupině firefox, by tedy spouštěč nespustil.

Kód: [Vybrat]

sudo adduser pepa firefox- pepa by měl oprávnění spustit firefox, protože by byl v skupině, která by měla spouštěcí práva.

Už nějaké skupiny existují, projdi si to, třeba budou vyhovovat ty stávající, prostě stačí uživatele z dané skupiny odstranit a o práva přijde.

http://wiki.ubuntu.cz/systém/uživatelé/skupiny_uživatelů_groups

[JS]

Co takhle dát ty aplikace do skupin. Například, aby firefox mohl spouštět jen někdo, tak bych udělal skupinu firefox, změnil nad spouštěčem (případně nad samotnou binárkou) vlastníka (

Kód: [Vybrat]

chown root:firefox /cesta/soubor), přes chmod bych nastavil práva třeba na 750 (

Kód: [Vybrat]

chmod 750 /cesta/soubor). Uživatel, který nebude ve skupině firefox, by tedy spouštěč nespustil.

Kód: [Vybrat]

sudo adduser pepa firefox- pepa by měl oprávnění spustit firefox, protože by byl v skupině, která by měla spouštěcí práva.

Už nějaké skupiny existují, projdi si to, třeba budou vyhovovat ty stávající, prostě stačí uživatele z dané skupiny odstranit a o práva přijde.

http://wiki.ubuntu.cz/systém/uživatelé/skupiny_uživatelů_groups

Dekuji to by snad mohla byt cesta. To asi zkusim.

[ntz_reloaded]

ne, to neni cesta .. to je akorat spatne .. kdyz zmenis prava nad souborama co prijdou z baliku, tak je jakejkoliv dalsi update prepise na puvodni a pokud ma dpkg tu ficuru (jako ze rpm ma), tak si navic pri kontrole souboru bude myslet, ze je s danym balikem neco spatne .. Jedina smysluplna (relativne vzato) cesta je to, co napsal rover ..

jedina mozna cesta je nainstalovat si nejake specializovane prostredi a nedat detam roota, pokud deti nemaj roota, tak proste nic znicit nemuzou, tak maximalne svuj profil a navic mi cely tenhle pripad evokuje slova klasika:

If you think your users are idiots, only idiots will use it ..

[beer]

Tak pokud aktualizace přepisuje spouštěče i spouštěče, tak přesun spouštěčů jak psal rover to neřeší - dojde tedy k tomu samému, protože se spouštěče znovu při aktualizaci vytvoří. V zásadě by se akorát docílilo toho, že by uživatel, který bude mít ke spouštěčům ve své domovské složce přístup, je může třeba náhodou smazat, a update by spouštěče přidal zpět do /usr/share/applications. Ta druhá věc, co psal rover, předpokládá přidání uživatele do skupiny root. To mi nepřipadá 2x bezpečné.

Je možné požadované balíky zamknout, aby je aktualizace neměnily, nebo aktualizovat ručně, a po aktualizaci spustit script, který přepíše práva dle potřeby tazatele.