Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
On Sat, Oct 16, 2004 at 09:36:57PM +0200, Matthias Houdek wrote:
> Am Samstag 16 Oktober 2004 18:46 schrieb Christian Knoke:
> > On Sat, Oct 16, 2004 at 06:15:41PM +0200, Christian Lensch wrote:
> > >
> > > wie kann ich auf meinem Debian System einen user neu anlegen, der
> > > ausschließlich auf sein eigenes Homeverzeichnis Zugriff hat und nur
> > > ausgewählte Programme (Bsp. firefox und Thunderbird) benutzen darf.
> >
> > Das ist wohl nicht möglich und sinnvoll.
>
> Doch, mgl. sollte das schon sein, nur eben aufwändig (ungestestet):
>
> Du brauchst eine neue Gruppe, z.B. "gast".
>
> Die Rechte für alle Programme in /usr/* musst du für Other auf "nicht
> ausführbar" setzen (chmod o -X /usr/* -R sollte es tun, mach dir aber
> vorher ein Backup ;-).
Der Teufel liegt halt im Detail. Welche Programme sind für ein lauffähiges
Debiansystem erforderlich? Das sind halt wesentlich mehr als Firefox und
Thunderbird.
> Alle Programme, die ausgeführt werden sollen, erhalten in einem
> versteckten Ordner im Homeverzeichnis des Users ein Startscript, das
> einem Mitglied der Gruppe "user" gehört, bei dem das Gruppen-ID-Bit
> gesetzt ist (chmod g +s) und das auch für Mitglieder von "gast" oder den
> speziellen User ausführbar ist.
> Das Script läuft dann selbst mit den Rechten der Gruppe "user" und sollte
> so das entsprechende Programm starten können.
su1 für Arme? Ne, so geht das nicht ...
> > Stattdessen kannst Du die
> > Rechte des Nutzers über seine Zugehörigkeiten zu Groups etwas
> > regulieren. Aber im Prinzip kann ein user alle Programme ausführen,
> > selbst die unter /sbin/
> >
> > chris@karl:~$ su -
> > Password:
>
> Ja, schön, wenn $User das root-Passwort kennt ...
Das war nur ne Demo, um ein nachvollziehbares Beispiel zu geben.
Gruß
Christian
--
Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.
Reply to: