Re: Wie kann man einen Benutzer anlegen, der nur ausgewählte Programme nutzen darf?
Am Samstag 16 Oktober 2004 18:46 schrieb Christian Knoke:
> On Sat, Oct 16, 2004 at 06:15:41PM +0200, Christian Lensch wrote:
> > Hallo Liste,
> >
> > wie kann ich auf meinem Debian System einen user neu anlegen, der
> > ausschließlich auf sein eigenes Homeverzeichnis Zugriff hat und nur
> > ausgewählte Programme (Bsp. firefox und Thunderbird) benutzen darf.
>
> Das ist wohl nicht möglich und sinnvoll.
Doch, mgl. sollte das schon sein, nur eben aufwändig (ungestestet):
Du brauchst eine neue Gruppe, z.B. "gast".
Die Rechte für alle Programme in /usr/* musst du für Other auf "nicht
ausführbar" setzen (chmod o -X /usr/* -R sollte es tun, mach dir aber
vorher ein Backup ;-).
Alle Programme, die ausgeführt werden sollen, erhalten in einem
versteckten Ordner im Homeverzeichnis des Users ein Startscript, das
einem Mitglied der Gruppe "user" gehört, bei dem das Gruppen-ID-Bit
gesetzt ist (chmod g +s) und das auch für Mitglieder von "gast" oder den
speziellen User ausführbar ist.
Das Script läuft dann selbst mit den Rechten der Gruppe "user" und sollte
so das entsprechende Programm starten können.
> Stattdessen kannst Du die
> Rechte des Nutzers über seine Zugehörigkeiten zu Groups etwas
> regulieren. Aber im Prinzip kann ein user alle Programme ausführen,
> selbst die unter /sbin/
>
> chris@karl:~$ su -
> Password:
Ja, schön, wenn $User das root-Passwort kennt ...
Wenn aber 'su' selbst für den User nicht aufrufbar ist, sollte auch das
ihm nicht weiterhelfen. Aber dann kann er sich ja auch gleich als root
anmelden *g*.
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: