Einen Linux-Benutzer auf eine einzige Anwendung beschränken

Einen Linux-Benutzer auf eine einzige Anwendung beschränken

Ich möchte einen Linux-Benutzer auf eine einzige Anwendung oder Browseraktivität beschränken. Ich habe vertrauliche Daten auf dem System, daher sollte der Benutzer (Client) nichts anderes tun können (kein Terminal/Editoren usw.). Wie könnte ich dieses Ziel erreichen?

Antwort1

Wenn Sie vertrauliche Dateien haben, beginnen Sie mit der Sicherung dieser Dateien. Dies sollte auch dann erfolgen, wenn Sie nicht beabsichtigen, anderen Benutzern Zugriff auf das System zu gewähren.

Linux/Unix verfügt über ein starkes Berechtigungssystem. Stellen Sie sicher, dass keine der sensiblen Dateien lesbar sind others. Dies können Sie erreichen, indem Sie den Zugriff auf alle Verzeichnisse entlang des Pfads einschränken.

Es ist nicht ungewöhnlich, die Berechtigungen für Home-Verzeichnisse so festzulegen, 700dass nur der Benutzer und Root den Inhalt sehen können. Richten Sie Ihren eingeschränkten Benutzer mit einer eigenen Gruppe ein, was bei einigen Distributionen die Standardeinstellung ist.

Überprüfen Sie Ihr System, um zu sehen, auf welche Dateien mit Berechtigungen zugegriffen werden kann others.

Wenn sich einige der vertraulichen Daten in einer Datenbank befinden, überprüfen Sie die Berechtigungen.

Wenn Sie dem Benutzer Zugriff auf einen Browser gewähren, kann er normalerweise das Dateisystem durchsuchen. Neben dem Kioskmodus sollten Sie auch die Verwendung eines in Betracht ziehen, chrootum ihn auf einen kleinen Teil des Systems zu beschränken. Dies kann für eine X-Window-Umgebung schwierig einzurichten sein, da sie eine beträchtliche Anzahl von Dateien und Geräten benötigt. Ich würde erwarten, dass ein xguestProfil den Zugriff auf dieselben Dateien und Verzeichnisse wie eine Chroot-Umgebung ermöglichen muss. Sie können Ansätze kombinieren, um Defense in Depth zu implementieren.

Es ist relativ einfach, einen X-Window-Benutzer auf eine einzige Anwendung zu beschränken. Starten Sie einfach diese Anwendung, anstatt einen Fenstermanager zu starten. Solange diese Anwendung keine anderen Anwendungen starten kann, sind sie auf diese Anwendung beschränkt. Untersuchen Sie die Funktionen dieser Anwendung, da sie möglicherweise Dateien durchsuchen und möglicherweise ausführen kann. Verfügt sie über einen kioskModus zur Zugriffsbeschränkung?

Wenn es Fehler in der Konfiguration gibt, kann der Benutzer möglicherweise aus seinem Gefängnis entkommen. Ich habe ein paar Tricks verwendet, um Zugriff auf explorerund andere Tools auf einem vermeintlich gesperrten Windows-System zu erhalten. Hier kommen die richtigen Datei- und Verzeichnisberechtigungen voll zum Tragen.

Antwort2

1. Bewahren Sie vertrauliche Daten auf einem externen Laufwerk auf.

Meiner Erfahrung nach kann Firefox einen SSH-Prozess starten und versuchen, eine Verbindung mit bösartigen IPs herzustellen. In einem Jahr habe ich Firefox ungefähr 200 Versuche gemacht. Bewahren Sie vertrauliche Daten daher möglichst auf einem externen Laufwerk auf oder starten Sie Firefox als anderer Benutzer.

2. Zweiten Benutzer hinzufügen.

Die Frage des OP ist nicht so einfach zu beantworten, da wir nicht wissen, ob er diesen PC auch verwenden wird. Erstellen Sie also einen weiteren Benutzer und installieren Sie den Windows Manager. So etwas wie Fluxbox sollte ausreichen.

3. Ausführen 'Startx-Browser' nur für den zweiten Benutzer.

Für den zweiten Benutzer können Sie Folgendes bearbeiten (in meinem Fall verwende ich lxqt): ./etc/X11/xinit/xinitrc.lxqtoder ./usr/bin/startlxqtund dort Ihren Browser hinzufügen.

4. Wenn Sie nur ein Kiosk-Betriebssystem möchten, versuchen Sieporto

Wo ist das Problem? Wenn Sie möchten, dass ich meine Antwort erweitere, fragen Sie einfach.

verwandte Informationen