將 Linux 用戶限制在單一應用程式中

Question 1

如果您有敏感文件，請從保護文件開始。即使您不打算讓其他使用者存取系統，也應該這樣做。

Linux/Unix有強大的權限系統。確保 . 無法讀取任何敏感檔案others。這可以透過限制對路徑上任何目錄的存取來完成。

700將主目錄的權限設定為僅允許使用者和根使用者查看內容的情況並不罕見。將受限用戶設定為自己的群組，這在某些發行版上是預設設定。

審核您的系統以查看哪些文件可以透過權限存取others。

如果某些敏感資料位於資料庫中，請審核其權限。

如果允許使用者存取瀏覽器，他們通常能夠瀏覽檔案系統。除了 kiosk 模式之外，您可能還需要考慮使用 achroot將它們限制在系統的一小部分。對於 X-window 環境來說，這可能很難設置，因為它需要相當數量的檔案和裝置。我希望xguest設定檔需要允許存取與 chroot 環境相同的檔案和目錄。您可以結合實施縱深防禦的方法。

嘗試將 X-window 用戶限制為單一應用程式相對容易。只需啟動該應用程式而不是啟動視窗管理器。只要該應用程式無法啟動其他應用程序，您就將它們限制為該應用程式。探索該應用程式的功能，因為它可能能夠瀏覽並可能執行檔案。它是否具有kiosk旨在限制存取的模式。

如果配置有缺陷，使用者也許能夠越獄。我使用了一些技巧來存取explorer所謂鎖定的 Windows 系統上的其他工具。這是正確的檔案和目錄權限發揮作用的地方。

Answer

如果您有敏感文件，請從保護文件開始。即使您不打算讓其他使用者存取系統，也應該這樣做。

Linux/Unix有強大的權限系統。確保 . 無法讀取任何敏感檔案others。這可以透過限制對路徑上任何目錄的存取來完成。

700將主目錄的權限設定為僅允許使用者和根使用者查看內容的情況並不罕見。將受限用戶設定為自己的群組，這在某些發行版上是預設設定。

審核您的系統以查看哪些文件可以透過權限存取others。

如果某些敏感資料位於資料庫中，請審核其權限。

如果允許使用者存取瀏覽器，他們通常能夠瀏覽檔案系統。除了 kiosk 模式之外，您可能還需要考慮使用 achroot將它們限制在系統的一小部分。對於 X-window 環境來說，這可能很難設置，因為它需要相當數量的檔案和裝置。我希望xguest設定檔需要允許存取與 chroot 環境相同的檔案和目錄。您可以結合實施縱深防禦的方法。

嘗試將 X-window 用戶限制為單一應用程式相對容易。只需啟動該應用程式而不是啟動視窗管理器。只要該應用程式無法啟動其他應用程序，您就將它們限制為該應用程式。探索該應用程式的功能，因為它可能能夠瀏覽並可能執行檔案。它是否具有kiosk旨在限制存取的模式。

如果配置有缺陷，使用者也許能夠越獄。我使用了一些技巧來存取explorer所謂鎖定的 Windows 系統上的其他工具。這是正確的檔案和目錄權限發揮作用的地方。

Question 2

1. 將敏感資料保存在外部磁碟機上。

我的經驗告訴我，firefox 可以產生 ssh 進程並嘗試連接惡意 IP。使用 Firefox 一年來，我嘗試了大約 200 次。因此，如果可能的話，將敏感資料保留在外部磁碟機上或以另一個使用者身分產生 Firefox。

2. 新增第二個用戶。

OP 的問題並不直接，因為我們不知道他是否也會使用這台電腦。因此，建立另一個使用者並安裝 Windows Manager（例如 Fluxbox）就足夠了。

3.執行'啟動瀏覽器' 僅適用於第二個使用者。

因此，對於第二個用戶，您可以編輯（在我的例子中，我使用 lxqt）：./etc/X11/xinit/xinitrc.lxqt或./usr/bin/startlxqt並在其中新增您的瀏覽器。

4.如果您只想使用 kiosk 作業系統，請嘗試門

有什麼問題，如果你想讓我擴展我的答案，儘管問。

Answer