如何限制新用户访问GUI应用程序

分享于 

3分钟阅读

互联网

  繁體

问题:

我的任务是限制新用户访问应用程序。

我想让他们使用预定义的应用程序,我需要他们只能使用(例如:Firefox,其他应用)。

我现在正在使用Ubuntu 18,但是不限于仅使用Ubuntu版本或其他Linux版本,如果解决方案适用于centos,我已准备好进行迁移。

答案1:

可以使用selinux /apparmor配置文件将特定组的访问限制到他们需要的应用程序。

这样做的好处是,用户将被限制为只允许什么。

/home挂载为noexec,以便用户不能运行自己的应用程序,以提高安全性。

答案2:

在Linux系统上,你可以控制直接打开GUI应用程序的二进制文件的权限,假设我想限制用户在Ubuntu上访问Firefox,如果我键入命令:


$ whereis firefox


firefox: /usr/bin/firefox /usr/lib/firefox /etc/firefox /usr/share/man/man1/firefox.1.gz



它的二进制文件位于/usr/bin/firefox上,我们可以使用,


$ ls -lh /usr/bin/firefox


lrwxrwxrwx 1 root root 25 out 31 05:44 /usr/bin/firefox -> ../lib/firefox/firefox.sh



在这里我们看到它的许可是rwxrwxrwx,由于r代表读取权限,w代表写入权限,x代表执行权限。

在此示例中,你应该创建一个特定的组来管理它,并为它二进制文件授予执行和写入权限,可以按如下方式执行:


sudo addgroup newgroup


sudo addgroup myusernamea newgroup


sudo addgroup myusernameb newgroup


sudo addgroup myusernamec newgroup


sudo chmod 750 /usr/bin/firefox


sudo chown root:newgroup /usr/bin/firefox



使用newgroup去掉了"其他用户"权限,最后chmod 750文件可以访问组Firefox 。

回答3:

使用AD作为它身份提供者的SSSD,你可以将Active Directory用户组和用户用作Linux组和用户,请参见这里(Ubuntu )在这里(RHEL )

只需确保旧用户位于AD组中,新用户不会自动添加到该组中。


USE  acc  用户  gui  users  Limit  
相关文章