Gnome alatt home-ba zárás

GNOME

Sewastok!

Az lenne a kérdésem, hogy megoldható valahogy hogy a felhasználó a nautilust használva ne jusson ki a saját könyvtárán kívülre, illetve csak a külső adathozdozók legyenek elérhetők? Eredetileg az rbash-re gondoltam, de utánaolvasva kiderült, hogy ez csak a parancssort korlátozza.

  • 2020 megtekintés

( BaT | 2007. 07. 26., cs – 21:52 )

Elég elvetemült ötletem van, de mi lenne, ha a /home-on kívül az összes könyvtárról levennéd az olvasási jogokat. Bár azt nem tudom, a futtatás lehetséges marad-e... Illetve ha egy proginak olvasnia kell-e egy fájlt, az megy-e...

azokkal amiket nem akarod hogy listázni tudjon
de ha csak a / és /home-ra csinálod akkor nem fod tudni feljebb lépni, viszont ha tudja egy könyvtár nevét
pl /etc akkor annak már listázhatja a tartalmát
ja és ha a /home-nak a groupjában benne van a user akkor a 751 nem elég 711 kell
kipróbáltam nautilusszal elég érdekes dolgokat művel, pl chmod 751 / után ha a FileSystem-re kattintok, permission denied, ha viszont a home könyvtárból Up,Up-pal megyek ki akkor néhány könyvtárat kilistáz, de nem mindet

Sikerült megoldanom, kisebb szépséghibával. Annyira belelendültem, hogy már a felhasználó saját könyvtárát is le szerettem volna zárni, csak a munkaasztal lehet elérhető számára, így levettem az olvasási jogokat a saját könyvtáráról, azonban ettől még a Nautilus engedélyezi a belépést/kilistázást ebben a könyvtárban.

( Oldman (nem ellenőrzött) | 2007. 07. 28., szo – 18:31 )

Nem értelek, ennek milyen gyakorlati hasznát látod?

Egyáltalán mi az oka e fura kívánságnak?

Ha ki akarsz zárni egy usert, akkor egyáltalán miért létezik az a felhasználó?
MIT akarsz előle ténylegesen "elzárni"?

A gép egy szállodában lesz és a vendégek, illetve a dolgozók használhatják internetezésre, szövegszerkesztésre, esetleg pendrive-on hozott anyagokat nyitogathatnak. Kitettem az asztalra a szükséges ikonokat, viszont nem akarom, hogy a Nautilus-szal elbogarásszanak a gépen. Minden egyéb ikon, menü eltűntetve, panelek lezárva, stb. Azért nem akarom, hogy hozzáférjenek a saját home könyvtárukhoz hogy csak az Asztalra menthessenek. És persze a nem kívánatos fájlokat egy script időnként onnan is törli. Ezért kell ilyen "durva" korlátozás.

( pinyo_villany | 2007. 07. 29., v – 00:28 )

ő: lesz az amit keresel: pessulus - lockdown editor for GNOME

ha debian alatt van akkor csak apt-get install pessulus és ugy konfigeled ahogy akarod.

http://www.gnome.org/learn/admin-guide/latest/lockdown.html

ez: http://extragear.kde.org/apps/kiosktool/ meg a kde-s megfelelője

Nekem mindig igazam van, ha nem, akkor nincs igazam, szoval megint igazam van hogy nincs igazam.

debian 4.0 - linux-2.6.22-pancs1-wifi0 - 2.6.22 kernel madwifivel itt

Pessulus: jó lenne, ha működne. :) root-ként állítottam be, de csak az aktuális bejelentkezett felhasználóra vonatkozott, úgyhogy megcsináltam a configokat a többi felhasználónak is. De a gconf beállítások nem zárják be a felhasználót a home könyvtárba, úgyhogy erre ez sem jó.

akkor a mostani stilusosabb nevén jail (chroot)? a szükségesebb fileokta be hardlinkeled és jailbe zárod a usert..

Nekem mindig igazam van, ha nem, akkor nincs igazam, szoval megint igazam van hogy nincs igazam.

debian 4.0 - linux-2.6.22-pancs1-wifi0 - 2.6.22 kernel madwifivel itt

És akkor a különböző programok hogy írhatnak a rejtett fájlokba? Jelenleg 40311 jogokkal bírnak a felhasználók home könyvtárai, és így elméletileg nem tudják kilistázni a tartalmukat. Legalábbis más, elzárni könyvtárról levéve az olvasási jogokat kizártam belőle a felhasználót, de a home könyvtárukkal ez nem működik.

Igen, megváltoztathatja, de a célközönség ennyire nem ért hozzá...szerencsére. :) Hogyha root tulajdonába veszem akkor működőképes lesz a dolog?
MC-vel néztem, egyébként 311 a jog jelenleg, vagyok a user írhat, beléphet, csoport és egyéb pedig csak beléphet.

A 751 illetve 711-es jogokkal megáldott könyvtárak tartalmát Nautilus-szal nem tudja kilistázni a felhasználó, de a tartalmukhoz az általa indított programok hozzáférnek. Erre lenne szükségesm a $HOME könyvtár esetében is. Egyedül a Desktop mappa legyen listázható számára.

Bocsánat. :) Folyamatosan vadidegen emberek fogják használni a gépet. Jelenleg 6+1 felhasználó van beállítva, a 6 felhasználó 6 nyelvű környezetet jelent, a +1 az admin. A környezet, amit kapnak az egy lecsupaszított Gnome, a szükséges ikonokkal az asztalon, semmi egyéb. A lényeg, hogyha le akarnak tölteni valamit a netről, akkor azt csak a magukkal hozott pendrive-ra tehetik, vagy a Munkaasztalra. Erre azért van szükség, hogy az ott dolgozók, akik szintén használhatják a gépet ne töltsék tele mindenféle szeméttel, illetve az aktuális vendég felhasználók se menthessenek semmi feleslegeset. Az asztalt meg az átlag user is tudja használni, ezért mentsen oda, ha mégis kell valami, illetve egy időzített script a nem megengedett, azonban mégis mentett fájlokat törli. Egy példa: adott dolgozó kap egy feladatot a főnöktől, hogy gépeljen be ezt-azt, leül a géphez, pötyög, mentené, hogy mailben elküldje, de nincs pendrive-ja. Ilyenkor menthet a munkaasztalra és az adott kiterjesztésű fájl megengedett, ergo nem törli a rendszer. Ha azonban nekiállnak képeket, videókat letölteni az törlésre kerül. Tudom, átnevezi a fájlt amit letöltött és máris megmarad. Szerencsére ennyire nem értenek hozzá azok, akik a potenciális célközönség lesznek, valamint alkalmankénti karbantartás ezt majd orvosolja.
Remélem kimerítő választ adtam. :)

Értem mostmár. Bocs, de tényleg el nem tudtam képzelni mi az ok.

Nos, szerintem a jogok körüli hülyéskedés tulajdonképp annyira nem is fontos ez esetben. Hiszen az időzített takaritoneni.sh azt is meg tudja csinálni, hogy az összes mappát törölje a $HOME-ból ami nem rejtett és nem Desktop. Szerintem innentől aztán menthetnek amit akarnak, a takaritoneni.sh jön és teszi a dolgát.

Persze, értem én hogy prevenció meg minden, de végülis miért menjünk a nehezebb úton, ha úgyis át kell haladjunk a simán? Azaz: a hozzáférésszabályozás szép dolog, de a takaritoneni.sh ígyis-úgyis meg kell hogy írattassék. Akkor meg?

No, mindegy, végülis ez csak azt jelenti, hogy én kényelmesebb vagyok, és bizony nem szoptam volna ennyit a jogokkal. Mindenesetre az itt kialakult rendszer sokak számára tanulságos lehet. Esetleg a Gnome alapú kiosk létrehozásáról születhetne vmi Wiki cikk... :)

Hamarosan lesz még egy rendszer, ahol hasonló korlátozásokat kell bevezetnem. Ott már beépítem az előzőnél szerzett tapasztalatokat, illetve az itt kapott tanácsokat, melyeket nagyon köszönök! Esetleg összedobhatok belőle egy wiki-t.
Addig is továbbképzem takarítónénit. :)

Ez így jónak tűnik, nem tudom mi a bajod. Esetleg:
- A rejtett mappák listázásának tiltása
- A rejtett mappákra mehet a 611 jog.

Ja, user mappák esetén én az utolsó két számot nullára szoktam venni, mert root mindenhova beléphet (A 0000 jogú mappákba is), a többiek meg hidegen hagynak.

( Gollam | 2007. 07. 31., k – 12:04 )

Nos, én már végképp nem értem...
Tekintve, hogy a desktop is csak egy könyvtár a felhasználó home-jában, akkor miért nem tudod megcsinálni, hogy a home-ra csak futtatási jogot adsz, de az azon belül lévő desktopra full jogokat?
Bár nekem is kissé kavarog a gyomrom ezektől a jog dobálgatásoktól, de ha már idáig eljutottál és úgy működik, ahogy szeretnéd, már csak egy lépés...

Írtam, hogy a $HOME-re kiosztott jogok nem működtek úgy, ahogy kellett volna nekik. 711-et kaptak a $HOME mappák és ettől függetlenül a Nautilus listázta a tartalmát. A rendszermappák, illetve maga a /home könyvtár 751-gyel, illetve 711-gyel is "nincs joga" hibaüzenetet dobott, ami megfelelő volt.

Az írási jog elvételétől félek, mert nem tudom, hogy most éppen melyik engedélyezett program akar egy ~./.* fájlt létrehozni. Jobb, ha nem is látja mi van a $HOME mappában. :) Úgy néz ki setfacl-lel sikerült hibátlanul megoldani ezt a problémát is. Egy doksiban összeszedegettem a lépéseket, egy tiszta rendszeren kipróbálom, finomítom és akkor elvileg lehet belőle wiki.

Sokadik peldad utan azert felve csak megkerdem: mi a fenet vartal egy 7xx jogu konyvtartol? 7 = rwx, azaz nem ertem. Szoval alap Jujniksz:
4 = r => listazni tudom (de nem latom a fajlok hosszat, tulajat, datumait)
2 = w => modositani tudom a konyvtarat (fajl/alkonyvtar letreahozas/torles/atnevezes)
1 = x => belelephetek a konyvtarba, es ha tudom, hogy mi van benne, annak az ismert nevu fajlnak latom a hosszat/tulajat/datumait/stb, csinalhatok vele amit a (fajl) jogai megengednek.
Szoval a fenti agyament esetben en inkabb egy 311 (plane 300) jogu $HOME-mal kezdenek.