我想将Linux用户限制在单个应用程序或浏览器活动中。 我有系统的敏感数据,因此用户(客户端)不应该能够做任何事情(没有terminal/编辑等)。 我怎样才能实现这个目标?
如果您有敏感文件,请从保护文件开始。 即使您不打算让其他用户访问系统,也应该这样做。
Linux / Unix拥有强大的权限系统。 确保others敏感文件都不可读。 这可以通过限制对path上任何目录的访问来完成。
将主目录上的权限设置为700仅允许用户和root用户查看内容)并不罕见。 设置您的受限用户与他们自己的组,默认情况下,在一些分配。
审核你的系统,看看哪些文件可以用others权限访问。
如果某些敏感数据位于数据库中,请审核其权限。
如果允许用户访问浏览器,他们通常可以浏览文件系统。 除了信息亭模式之外,您可能还想考虑使用chroot将它们限制在系统的一小部分。 这可能很难为X窗口环境设置,因为它需要相当数量的文件和设备。 我希望xguestconfiguration文件需要允许访问与xguest环境相同的文件和目录。 你可以结合实施深度防御的方法。
试图将X窗口用户限制在单个应用程序中是相对容易的。 只需启动该应用程序,而不是启动窗口pipe理器。 只要该应用程序无法启动其他应用程序,则将其限制在该应用程序中。 探索该应用程序的function,因为它可能能够浏览并可能执行文件。 它是否有一个旨在限制访问的kiosk服务terminal模式。
如果configuration中存在缺陷,用户可能可以逃离监狱。 我已经使用了一些技巧来访问一个所谓的lockingWindows系统上的explorer和其他工具。 这是完全正确的文件和目录权限。
1.将敏感数据保存在外部驱动器上。
我的经验告诉我们,firefox可以产生ssh进程并尝试连接到恶意的ip。 对于使用Firefox一年,我有〜200次尝试。 所以如果可能的话,保持外部驱动器的敏感数据或产生Firefox作为另一个用户。
2.添加第二个用户。
OP的问题不是海峡两岸,因为我们不知道他是否也会使用这台PC。 所以创build另一个用户并安装Windows Manager就像fluxbox就足够了。
3.仅对第二个用户执行“ startx浏览器 ”。
所以对于第二个用户,你可以编辑(在我的情况下即时使用lxqt): ./etc/X11/xinit/xinitrc.lxqt ./usr/bin/startlxqt / ./etc/X11/xinit/xinitrc.lxqt / ./usr/bin/startlxqt / ./etc/X11/xinit/xinitrc.lxqt或./usr/bin/startlxqt并在那里添加您的浏览器。
4.如果你想只是亭子操作系统尝试porteus
什么问题,如果你想让我延长我的答案只是问。