Linuxユーザーを単一のアプリケーションに制限する

Linuxユーザーを単一のアプリケーションに制限する

Linux ユーザーを単一のアプリケーションまたはブラウザ アクティビティに制限したいと考えています。システムには機密データがあるため、ユーザー (クライアント) は他の操作 (ターミナル/エディターなど) を実行できないようにする必要があります。この目標に近づくにはどうすればよいでしょうか。

答え1

機密ファイルがある場合は、まずファイルのセキュリティ保護から始めます。他のユーザーにシステムへのアクセスを許可しない場合でも、この作業を行う必要があります。

Linux/Unix には強力な権限システムがあります。機密ファイルが によって読み取られないようにしますothers。これは、パス上の任意のディレクトリへのアクセスを制限することで実現できます。

ホーム ディレクトリの権限を、ユーザーと root のみがコンテンツを表示できるように設定することは珍しくありません。700制限されたユーザーに独自のグループを設定します。これは、一部のディストリビューションではデフォルトになっています。

システムを監査して、権限でアクセスできるファイルを確認しますothers

機密データの一部がデータベース内にある場合は、その権限を監査します。

ユーザーにブラウザへのアクセスを許可すると、通常はファイル システムを参照できます。キオスク モードのほかに、chrootシステムの小さな部分へのアクセスを制限するために の使用を検討することもできます。X ウィンドウ環境では、かなりの数のファイルとデバイスが必要になるため、これをセットアップするのは難しい場合があります。プロファイルでは、chroot 環境と同じファイルとディレクトリへのアクセスを許可する必要があると思いますxguest。複数のアプローチを組み合わせて、多層防御を実装できます。

X ウィンドウ ユーザーを 1 つのアプリケーションに制限することは比較的簡単です。ウィンドウ マネージャーを起動する代わりに、そのアプリケーションを起動するだけです。そのアプリケーションが他のアプリケーションを起動できない限り、そのアプリケーションに制限されていることになります。そのアプリケーションの機能を調べてください。ファイルを参照したり、場合によっては実行したりできる可能性があります。kioskアクセスを制限するためのモードがありますか。

設定に欠陥があれば、ユーザーは監獄から脱出できる可能性があります。私は、explorerロックダウンされているはずの Windows システムにアクセスしたり、他のツールを入手したりするために、いくつかのトリックを使用しました。ここで、正しいファイルとディレクトリのアクセス許可が最大限に活用されます。

答え2

1. 機密データを外付けドライブに保存します。

私の経験では、Firefox は SSH プロセスを生成し、悪意のある IP に接続しようとする可能性があります。Firefox を 1 年間使用していますが、試行回数は 200 回程度です。そのため、可能であれば機密データを外部ドライブに保存するか、Firefox を別のユーザーとして生成してください。

2. 2人目のユーザーを追加します。

OP の質問は単純ではありません。なぜなら、彼もこの PC を使用するかどうかわからないからです。したがって、別のユーザーを作成し、Windows マネージャー (fluxbox など) をインストールすれば十分でしょう。

3. ' を実行するブラウザを起動する' のみ、2 番目のユーザー用です。

したがって、2 番目のユーザーの場合は、次のように編集できます (私の場合は lxqt を使用しています)。./etc/X11/xinit/xinitrc.lxqtまたは./usr/bin/startlxqt、そこにブラウザーを追加します。

4. キオスクOSだけが欲しい場合はポルテウス

何が問題なのですか。私の回答を詳しく聞きたいなら、聞いてください。

関連情報