Me gustaría limitar a un usuario de Linux a una sola aplicación o actividad del navegador. Tengo datos confidenciales en el sistema, por lo tanto, el usuario (cliente) no debería poder hacer nada más (ni terminal/editores, etc.). ¿Cómo podría acercarme a este objetivo?
Respuesta1
Si tiene archivos confidenciales, comience protegiéndolos. Esto debe hacerse incluso si no desea permitir que otros usuarios accedan al sistema.
Linux/Unix tiene un sólido sistema de permisos. Asegúrese de que ninguno de los archivos confidenciales sea legible por others. Esto se puede hacer restringiendo el acceso a cualquier directorio a lo largo de la ruta.
No es raro establecer permisos en directorios de inicio 700que permitan que sólo el usuario y el root vean el contenido. Configure su usuario restringido con su propio grupo, que en algunas distribuciones es el predeterminado.
Audite su sistema para ver a qué archivos se puede acceder con otherspermisos.
Si algunos de los datos confidenciales están en una base de datos, audite sus permisos.
Si permite que el usuario acceda a un navegador, normalmente podrá explorar el sistema de archivos. Además del modo quiosco, es posible que desees considerar el uso de chrootpara restringirlos a una pequeña parte del sistema. Esto puede resultar difícil de configurar para un entorno X-window, ya que necesita una buena cantidad de archivos y dispositivos. Esperaría que un xguestperfil debiera permitir el acceso a los mismos archivos y directorios que el entorno chroot. Puede combinar enfoques para implementar Defensa en profundidad.
Es relativamente fácil intentar restringir un usuario de X-window a una sola aplicación. Simplemente inicie esa aplicación en lugar de iniciar un Administrador de ventanas. Mientras esa aplicación no pueda iniciar otras aplicaciones, las habrá restringido a esa aplicación. Explore las capacidades de esa aplicación, ya que es posible que pueda explorar y posiblemente ejecutar archivos. ¿Tiene un kioskmodo destinado a restringir el acceso?
Si hay fallas en la configuración, el usuario podrá escapar de su cárcel. He utilizado algunos trucos para obtener acceso explorery otras herramientas en un sistema Windows supuestamente bloqueado. Aquí es donde los permisos correctos de archivos y directorios cobran toda su fuerza.
Respuesta2
1. Mantenga los datos confidenciales en un disco externo.
Mi experiencia dice que Firefox puede generar un proceso ssh e intentar conectarse con direcciones IP maliciosas. Durante un año de uso de Firefox, tengo unos 200 intentos. Entonces, si es posible, mantenga los datos confidenciales en un disco externo o genere Firefox como otro usuario.
2. Agregue un segundo usuario.
La pregunta de OP no es sencilla, porque no sabemos si también usará esta PC. Así que crear otro usuario e instalar Windows Manager, algo como fluxbox debería ser suficiente.
3. Ejecutar 'navegador startx' solamente, para el segundo usuario.
Entonces, para el segundo usuario, puede editar (en mi caso, estoy usando lxqt): ./etc/X11/xinit/xinitrc.lxqto ./usr/bin/startlxqtagregar allí su navegador.
4. Si solo quieres un sistema operativo de quiosco, pruebaporteo
¿Cuál es el problema? Si quieres que amplíe mi respuesta, pregúntamelo.