Как ограничить доступ новых пользователей к приложению с графическим интерфейсом
Существующие настройки имеют подключенные логины cted в Active Directory, где создаются новые пользователи.
Моя задача - ограничить доступ новых пользователей к приложениям.
Я хотел бы заблокировать их, чтобы они могли использовать предопределенные приложения, которые мне нужны. (например, Firefox, Chrome, другое приложение).
Есть ли какое-нибудь приложение, которым я мог бы управлять или каким-либо другим способом добиться этого.
Любая помощь будет принята с благодарностью.
На данный момент я использую Ubuntu 18, но я не ограничен в использовании только версий Ubuntu или других разновидностей Linux. Если решение доступно для centos, я готов к миграции.
Это новый проект, поэтому я не боюсь нарушить настройку или что-то в этом роде.
Можно использовать selinux / apparmor профили для ограничения доступа для определенных групп ТОЛЬКО к приложениям, в которых они нуждаются.
преимущество выполнения его этот путь состоит в том, что пользователи будут ограничены только , что Вы позволяете.
создание тех может быть особенно сложным, таким образом, в зависимости от того, как плотно необходимо заблокировать вещи вниз, Вы, возможно, не должны идти настолько далеко.
, Например https://serverfault.com/a/993498/2101 является, вероятно, хорошим первым шагом, но убеждаться реализовать другие методы параллельно (например, монтирование /home как noexec, таким образом, пользователи не могут запустить свои собственные приложения из там) для увеличенной безопасности.
В системах Linux можно управлять полномочиями двоичного файла, который открывает приложение GUI непосредственно. Скажем, я хочу ограничить пользователей для доступа к Firefox на Ubuntu... Если я ввожу команду:
$ whereis firefox
firefox: /usr/bin/firefox /usr/lib/firefox /etc/firefox /usr/share/man/man1/firefox.1.gz
Его двоичный файл расположен на /usr/bin/firefox, и мы видим его полномочия с ls - lh:
$ ls -lh /usr/bin/firefox
lrwxrwxrwx 1 root root 25 out 31 05:44 /usr/bin/firefox -> ../lib/firefox/firefox.sh
Здесь мы видим, что его разрешение rwxrwxrwx. Это означает rwx для пользователя корень , rwx для корня группы и rwx для [1 122] другие пользователи . Как r обозначает чтение разрешения, w обозначает запись, что разрешение и x обозначает выполнение разрешения.
В этом примере, необходимо создать определенную группу, чтобы управлять им и дать выполнение и полномочия записи на ее двоичном файле. Можно сделать это как следующее:
sudo addgroup newgroup
sudo addgroup myusernamea newgroup
sudo addgroup myusernameb newgroup
sudo addgroup myusernamec newgroup
sudo chmod 750 /usr/bin/firefox
sudo chown root:newgroup /usr/bin/firefox
В основном, я создал новую группу, названную newgroup, добавил пользователей, которых я хочу этой группе, вынутой "другие пользователи" полномочия с [1 113], и наконец сделал свой файл Firefox доступным для группы newgroup.
Используя SSSD с AD как его поставщик идентификационных данных, можно использовать группы Пользователя Active Directory и пользователей как группы Linux и пользователи. См. здесь (Ubuntu) и здесь (RHEL)
, После того как это сделано, можно ограничить доступ к определенному исполняемому файлу определенной системной группе, как объяснено в этот ответ . Просто удостоверьтесь, что старые пользователи находятся в AD группе, и новые пользователи не добавляются автоматически к ней.