• Liebe User, bitte beachtet folgendes Thema: Was im Forum passiert, bleibt im Forum! Danke!
  • Hallo Gemeinde! Das Problem leidet zurzeit unter technischen Problemen. Wir sind da dran, aber das Zeitkontingent ist begrenzt. In der Zwischenzeit dürfte den meisten aufgefallen sein, dass das Erstellen von Posts funktioniert, auch wenn das Forum erstmal eine Fehlermeldung wirft. Um unseren Löschaufwand zu minimieren, bitten wir euch darum, nicht mehrmals auf 'Post Reply' zu klicken, da das zur Mehrfachposts führt. Grußworte.

Rechtebeschränkung unter Linux

gim~li

Guest
Da mein andres Topic ja durch technische Probleme irgendwie verschütt gegangen ist, hier nochmal die Frage:

Ich möchte unter Suse 8.2 einen Benutzer einrichten, der sich lediglich unter KDE einloggn kann, eine Internetverbindung herstellen und den PC auch wieder herunterfahren kann.
sonst nichts.
keine anderen programme/konsolen/etc starten ...

wie ist so etwas möglich?
 

lari.fari

Guest
ein standart benutzer kann ziemlich wenig, schreibrechte hat er afaik nur in seinem home directory (kommt aber auch auf die distri an, ich hab slackware).

prinzipiell regelt man das doch über
chmod
chown

tutorials geben dir da genauere auskunft
 

Wiseguy3

Guest
standardddddddddddddddd

zum Problem: mach eine neue Gruppe speziell für diesen User auf und trag ihn als zusätzlichen User nur bei den anderen Programmgruppen ein, die er benutzen darf.

Oder benutz OS X...
 

The_Company

Guest
Das ist schwer. Unter Linux gibt es bekanntermassen 3 Arten von Zugriffsrechten: User, Gruppe und Welt.
Das was "Welt" kann, können alle User sowieso.
Und Welt kann per default ziemlich viel, zB alle Programme in /usr/bin starten, in /tmp, /home/$USERNAME (und /var ?) Dateien anlegen, usw. Du müsstest also das komplette default Sicherheitskonzept von Deinem Rechner umbauen und sowas alles verbieten, dabei aber aufpassen, dass alle anderen User das nacdh wie vor können.

Also wie gesagt, wenn Du den Standardkram, den jeder per default kann, ändern willst, dann haste ne Aufgabe vor Dir.
 

Wiseguy3

Guest
Sucht ihr sowas?

restrictions.png


:p
 

ViperDK

Mitglied seit
18.07.2001
Beiträge
2.152
Reaktionen
2
Ort
Nürnberg
in der annahme das das in linux aehnlich wie bei bsd ist:

nimm die hau-drauf methode^^

/etc/login.conf

legste nen profil fuer den benutzer an und stellst ihm ein so hartes limit beim arbeitsspeicher ein, dass ausser kde nix mehr reinpasst :)

ps: wiseguy: weist du, wie das ding bei macos X umgesetzt ist? blendet der nur die programme aus oder schafft er es sie systemseitig so zu deaktivieren das sie garnicht mehr ladbar sind. bzw. kannst du shell erlauben aber verhindern, dass von dort aus programme geladen werden.
 

Wiseguy3

Guest
Original geschrieben von ViperDK
ps: wiseguy: weist du, wie das ding bei macos X umgesetzt ist? blendet der nur die programme aus oder schafft er es sie systemseitig so zu deaktivieren das sie garnicht mehr ladbar sind.
Zum Vergrößern anklicken....
Über den Finder sind sie nicht mehr ladbar. Sie werden also nicht nur ausgeblendet, sondern sind nicht erlaubt.

Original geschrieben von ViperDK
bzw. kannst du shell erlauben aber verhindern, dass von dort aus programme geladen werden.
Zum Vergrößern anklicken....
Grad ausprobiert - wenn du ein normales open -a Safari in der Shell (wenn du sie erlaubt hast) eingibst, öffnet er den Browser.

Erlaubt man also ne Shell, muss man sich nochmal separat darum kümmern, die "verbotenen" Programme zu schützen.

Schade eigentlich...
 

Whcttyh

Mitglied seit
03.08.2002
Beiträge
707
Reaktionen
0
linux ist in den benutzerrechten manch anderen unix-systemen unterlegen, aber ich koennte mir vorstellen, dass man erweiterungen zusaetzlich in den kernel einkompilieren kann. weiss einer naeheres?
 

Xirtam

Guest
Nutz "sudo" (google danach, ka ob das bei Distris schon dabei ist) - danach fügst du deiner Nutzergruppe in der Sudo-Config (/etc/sudoers ist std glaube ich), die gewünschten Befehle hinzu und fertig.
 

gim~li

Guest
uhm, das ist ja doch komplizierter als ich dachte :(
also ich werd das erstmal mit der neuen gruppe versuchen ...

trotzdem danke für alle antworten - vielleicht muss ich ja nochmal auf die eine oder andre zurück kommen :/
 

Wiseguy3

Guest
Original geschrieben von Chaos[fisch]
Nutz "sudo" (google danach, ka ob das bei Distris schon dabei ist) - danach fügst du deiner Nutzergruppe in der Sudo-Config (/etc/sudoers ist std glaube ich), die gewünschten Befehle hinzu und fertig.
Zum Vergrößern anklicken....
Ähm, er will ja den Zugriff _beschränken_ und nicht noch zusätzliche Rechte einräumen...
Insofern bringt ihm sudo nichts.
 

The_Company

Guest
Original geschrieben von [UEP]Xyz
linux ist in den benutzerrechten manch anderen unix-systemen unterlegen, aber ich koennte mir vorstellen, dass man erweiterungen zusaetzlich in den kernel einkompilieren kann. weiss einer naeheres?
Zum Vergrößern anklicken....
Linux unterstützt bei den meisten Dateisystemen ACLs (Access Control Lists, s. Google). Das vereinfacht das Verwalten von vielen Benutzern.

Allerdings ist Linux keinem System von den Möglichkeiten her unterlegen. Es erlaubt jetzt schon jede Kombination von User/Datei Zugriffserlaubnissen für jede Menge Dateien/User.


Und Viper: RAM begrenzen, damit nur KDE läuft bringt nix, da startet man sich TWM und/oder killt session manager & Co. und schon hat man Platz (bei KDE sogar viel Platz) für was anderes.
 

ViperDK

Mitglied seit
18.07.2001
Beiträge
2.152
Reaktionen
2
Ort
Nürnberg
Original geschrieben von The_Company
Allerdings ist Linux keinem System von den Möglichkeiten her unterlegen. Es erlaubt jetzt schon jede Kombination von User/Datei Zugriffserlaubnissen für jede Menge Dateien/User.

Und Viper: RAM begrenzen, damit nur KDE läuft bringt nix, da startet man sich TWM und/oder killt session manager & Co. und schon hat man Platz (bei KDE sogar viel Platz) für was anderes.
Zum Vergrößern anklicken....

Sind die ACLs von Linux mittlerweile denn schon soweit wie die von NTFS? (vererbung aktivierbar fuer unterordner, lesen der permissions expilizit festlegbar oder wer ownership uebernehmen darf usw) bzw. weisst du ob das die selbe implementation ist, die sie derzeit in FreeBSD 5.1-CURRENT verwenden?

Das das mit RAM begrenzen ne bescheuerte loesung is hab ich mir schon gedacht ;)

Der ganze Ansatz an sich is irgendwie komisch. warum sollte ein user nur inet starten koennen. wenn dein system richtig konfiguriert ist kann er nix anstellen, egal welche progs er startet. Mit ACLs den gesamten Tree zu verminen kommt mir ehrlichgesagt auch nicht so toll vor. da gibts doch bestimmt ne sauberere loesung.
 

The_Company

Guest
Wenn man bedenkt, dass ich kein Sysadmin bin und auf meinem lokalen Rechner nur als root rumlaufe, dann weiss ich schon ziemlich viel über Rechtsbeschränkungen :D

Ich hab aber keinen blassen Schimmer, was die genau wie tun.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben