Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?

To: debian-user-german@lists.debian.org
Subject: Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
From: Matthias Houdek <linux@houdek.de>
Date: Sun, 17 Oct 2004 00:50:36 +0200
Message-id: <[🔎] 200410170050.36500.linux@houdek.de>
In-reply-to: <[🔎] 200410162039.i9GKdCL20281@bolte.at.home>
References: <[🔎] 4171492D.10306@t-online.de> <[🔎] 200410162136.57958.linux@houdek.de> <[🔎] 200410162039.i9GKdCL20281@bolte.at.home>

Am Samstag 16 Oktober 2004 22:53 schrieb Christian Knoke:
> On Sat, Oct 16, 2004 at 09:36:57PM +0200, Matthias Houdek wrote:
> > Am Samstag 16 Oktober 2004 18:46 schrieb Christian Knoke:
> > > On Sat, Oct 16, 2004 at 06:15:41PM +0200, Christian Lensch wrote:
> > > > wie kann ich auf meinem Debian System einen user neu anlegen, der
> > > > ausschließlich auf sein eigenes Homeverzeichnis Zugriff hat und
> > > > nur ausgewählte Programme (Bsp. firefox und Thunderbird) benutzen
> > > > darf.
> > >
> > > Das ist wohl nicht möglich und sinnvoll.
> >
> > Doch, mgl. sollte das schon sein, nur eben aufwändig (ungestestet):
> >
> > Du brauchst eine neue Gruppe, z.B. "gast".
> >
> > Die Rechte für alle Programme in /usr/* musst du für Other auf "nicht
> > ausführbar" setzen (chmod o -X /usr/* -R sollte es tun, mach dir aber
> > vorher ein Backup ;-).
>
> Der Teufel liegt halt im Detail. Welche Programme sind für ein
> lauffähiges Debiansystem erforderlich? Das sind halt wesentlich mehr
> als Firefox und Thunderbird.

Jaja, es ist nicht ganz unaufwändig ;-)

Wobei - für Normal-User (so als "DAU-Schutz") sollte es reichen, das 
Execute-Recht für die Verzeichnisse /usr/* für "Other" rauszunehmen. 
Welcher Dau kennt schon den genauen Pfad einer Datei? *g* Und ohne den 
lässt sich kein Programm dort aufrufen, weil man die Verzeichnisse ja 
nicht einsehen kann.

> > Alle Programme, die ausgeführt werden sollen, erhalten in einem
> > versteckten Ordner im Homeverzeichnis des Users ein Startscript, das
> > einem Mitglied der Gruppe "user" gehört, bei dem das Gruppen-ID-Bit
> > gesetzt ist (chmod g +s) und das auch für Mitglieder von "gast" oder
> > den speziellen User ausführbar ist.
> > Das Script läuft dann selbst mit den Rechten der Gruppe "user" und
> > sollte so das entsprechende Programm starten können.
>
> su1 für Arme? Ne, so geht das nicht ...

Im Prinzip sollte es schon gehen. Sicherlich könnte man es mit su auch 
machen, aber solche Programme würde ich z.B. auch ausschließen.

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

References:
- Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
  - From: christian_lensch@t-online.de (Christian Lensch)
- Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
  - From: Matthias Houdek <linux@houdek.de>
- Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
  - From: Christian Knoke <chrisk@cknoke.de>

Prev by Date: Probleme mit 2.6.8 und nforce2
Next by Date: Re: isdn treiber installieren
Previous by thread: Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
Next by thread: Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
Index(es):
- Date
- Thread