我有一个任务来configuration一个RedHat Enterprise Linux 5 Gnome PC,这样一个特定的用户 – 比如说USER1的桌面访问将非常有限。 要求包括:
基本上它是所有locking的PC,对于这个特定的用户来说function非常有限。 如果另一个授权用户或者根用户login – 那么所有正常的铃声和哨声应该是正常的。
我们已经使用本地安全设置在Windows上实现了这一点,但我不知道如何在Linux中这样做。
我听说过SELinux ,并尝试使用“SELinuxpipe理工具”,但它不是很有用,或者我不知道如何正确使用它。
- 限制对大部分文件夹的shell访问权限,但限制用户自己的主文件夹。
- 这个用户(USER1)不应该能够运行任何会影响任何文件/文件夹而不是自己的shell命令。
标准的Linux权限scheme应该解决这个问题。 未授权的用户不能修改任何不属于他们的内容,也不能访问存储重要系统信息的文件夹。
- 必须限制访问所有桌面菜单(应用程序,地点,系统)和图标(计算机,用户主页等)。
修改面板和桌面,以防止任何有问题的图标或小程序可用。
使用gconftool2来设置下列键(在apps / panel / global下):
disable_force_quit将阻止用户强行closures面板小程序的能力。 disable_lock_screen将阻止用户显示保护屏幕的屏幕保护程序和密码。 disable_log_out将防止用户注销,closures或重新启动计算机。 locked_down将阻止用户对面板进行任何更改。 在desktop / gnome / lockdown下设置以下键:
disable_command_line这也禁用“运行程序”对话框。 disable_lock_screen将阻止用户locking屏幕。 disable_printing将阻止用户将东西打印到连接的打印机。 disable_print_setup将阻止访问所有“打印设置”对话框。 disable_save_to_disk将阻止用户保存任何东西到硬盘驱动器。 disable_user_switching将阻止用户在当前会话处于活动状态时切换到另一个帐户。 这听起来像你真正想要的是一种使Gnome像小亭子一样的行为。 有几个指南:
我认为chroot可能是一个开始,你把用户限制在他自己的home文件夹中,把他监禁在那里,他不能只是去别的地方,所以他只能编辑自己的文件。 这里有一个非常好的指南: http : //www.cyberciti.biz/tips/howto-linux-unix-rssh-chroot-jail-setup.html
除了这里提到的kce之外,我还发现:
第10页的“ RedHat部署指南”几乎解释了我想要做的事情。 这个页面也解释了一下。