Как установить исполняемый белый список?
В Linux возможно ли установить белый список исполняемых файлов для определенной группы пользователей? Мне нужно, чтобы они не могли использовать, например, make, gcc и исполняемые файлы на съемных дисках.
Как это может быть сделано?
Изменить, позвольте мне объяснить лучше.
Я имею дело с ИТ-системой средней школы, молодыми фанатами, которые (во время уроков) хотят играть, путешествовать по сети, повредить эти компьютеры, насколько они могут. Главным шагом для достижения этой цели было удаление системы, с которой они знакомы, и установка Ubuntu на всех компьютерах. Это на самом деле работает довольно хорошо, но недавние события доказали, что этого недостаточно.
Я хочу позволить им запускать определенные безопасные программы, такие как Open Office, и запрещать любую другую программу, будь то предустановленное программное обеспечение, что-то, что они несут на USB-накопителях, загруженную программу или сценарий, который они программируют на сайте.
Можно удалить разрешение "x" для любого файла на компьютере, но, конечно, это будет нецелесообразно. Кроме того, они смогут запускать все, что загружают.
Я думал, что лучшим решением было бы составить белый список безопасных программ и отрицать что-либо еще, но я действительно не знаю, как это сделать. Любая идея полезна.
2 ответа
Удалите ДРУГИЕ разрешения из файлов в /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin (и т. Д., До тошноты!)
Поскольку их пользователь не находится в корневой группе, они не могут запускать какие-либо программы.
Чтобы разрешить определенным программам, установите для ДРУГИХ разрешений значение rx (5)... это позволит им использовать эту программу.
Вы также можете создать группу и добавить определенных пользователей в эту группу. Изменение группы рассматриваемой программы разрешит доступ ТОЛЬКО пользователям. Это позволило бы более привилегированному набору студентов больше возможностей.
Конечно, если после ВСЕГО этого... некоторые все еще могут выйти в Интернет и делать все, что угодно... хвалить их! Поздравь их! Потому что они все еще знают, как думать и решать вещи.
Я не рекомендую использовать chmod для всех программ... они все еще нужны, чтобы иметь возможность войти в систему, запустить графический интерфейс и еще много чего.
Это действительно только поднимает планку, так как я могу придумать несколько способов обойти это. (Но опять же, я думаю, что я немного дальше по пути обучения).
Я не совсем понимаю, что вы имеете в виду, но если вы хотите, чтобы пользователи из определенной группы могли выполнять определенные команды, то это можно сделать следующим образом: /etc/sudoers
:
%dev user=(root)NOPASSWD:/usr/bin/make, /usr/bin/gcc