Linux 사용자를 단일 애플리케이션이나 브라우저 활동으로 제한하고 싶습니다. 시스템에 민감한 데이터가 있으므로 사용자(클라이언트)는 다른 작업(터미널/편집기 등)을 수행할 수 없어야 합니다. 이 목표를 향해 어떻게 접근할 수 있을까요?
답변1
민감한 파일이 있는 경우 파일 보안부터 시작하세요. 다른 사용자가 시스템에 액세스하도록 허용하지 않으려는 경우에도 이 작업을 수행해야 합니다.
Linux/Unix에는 강력한 권한 시스템이 있습니다. 에서 읽을 수 있는 중요한 파일이 없는지 확인하세요 others
. 이는 경로에 있는 모든 디렉터리에 대한 액세스를 제한하여 수행할 수 있습니다.
700
사용자와 루트만 내용을 볼 수 있도록 홈 디렉토리에 대한 권한을 설정하는 것은 드문 일이 아닙니다 . 제한된 사용자를 자신의 그룹으로 설정하세요. 일부 배포판에서는 이것이 기본값입니다.
시스템을 감사하여 권한이 있는 파일에 액세스할 수 있는지 확인하세요 others
.
민감한 데이터 중 일부가 데이터베이스에 있는 경우 해당 권한을 감사하십시오.
사용자에게 브라우저 액세스를 허용하면 일반적으로 파일 시스템을 탐색할 수 있습니다. 키오스크 모드 외에도 a를 사용하여 chroot
시스템의 작은 부분으로 제한하는 것을 고려할 수 있습니다 . 상당한 수의 파일과 장치가 필요하기 때문에 X-window 환경에서는 설정하기 어려울 수 있습니다. 나는 xguest
프로파일이 chroot된 환경과 동일한 파일 및 디렉토리에 대한 액세스를 허용해야 한다고 예상합니다 . 심층 방어를 구현하는 접근 방식을 결합할 수 있습니다.
X-window 사용자를 단일 응용 프로그램으로 제한하는 것은 상대적으로 쉽습니다. 창 관리자를 시작하는 대신 해당 응용 프로그램을 시작하기만 하면 됩니다. 해당 응용 프로그램이 다른 응용 프로그램을 시작할 수 없는 한 해당 응용 프로그램으로 제한했습니다. 파일을 찾아보고 실행할 수도 있으므로 해당 응용 프로그램의 기능을 살펴보십시오. kiosk
액세스를 제한하는 모드가 있습니까 ?
구성에 결함이 있는 경우 사용자는 감옥에서 탈출할 수 있습니다. 나는 explorer
잠긴 것으로 추정되는 Windows 시스템에 대한 액세스 권한을 얻기 위해 몇 가지 트릭을 사용했습니다 . 여기에서 올바른 파일 및 디렉터리 권한이 최대한 발휘됩니다.
답변2
1. 중요한 데이터를 외장 드라이브에 보관하세요.
내 경험에 따르면 Firefox는 SSH 프로세스를 생성하고 악성 IP와 연결을 시도할 수 있습니다. 1년 동안 Firefox를 사용하면서 약 200번 정도 시도했습니다. 따라서 가능하다면 중요한 데이터를 외부 드라이브에 보관하거나 Firefox를 다른 사용자로 생성하십시오.
2. 두 번째 사용자를 추가합니다.
OP 질문은 간단하지 않습니다. 왜냐하면 그 사람도 이 PC를 사용할지 모르기 때문입니다. 따라서 다른 사용자를 생성하고 fluxbox와 같은 Windows Manager를 설치하면 충분합니다.
3. '실행'startx 브라우저'만, 두 번째 사용자에게만 해당됩니다.
따라서 두 번째 사용자의 경우 편집할 수 있습니다(제 경우에는 lxqt를 사용합니다): ./etc/X11/xinit/xinitrc.lxqt
또는 ./usr/bin/startlxqt
거기에 브라우저를 추가합니다.
4. 그냥 키오스크 OS를 원한다면 시도해보세요포르테우스
문제가 무엇입니까? 답변을 연장하려면 그냥 물어보세요.