Quiescent Asked: 2015-10-03 03:00:21 +0800 CST2015-10-03 03:00:21 +0800 CST 2015-10-03 03:00:21 +0800 CST 将 Linux 用户限制在单个应用程序中 772 我想将 Linux 用户限制在单个应用程序或浏览器活动中。我在系统上有敏感数据,因此用户(客户端)不应该做任何其他事情(没有终端/编辑器等)。我怎样才能接近这个目标? linux 2 个回答 Voted Best Answer BillThor 2015-10-03T04:32:15+08:002015-10-03T04:32:15+08:00 如果您有敏感文件,请从保护文件开始。即使您不打算让其他用户访问系统,也应该这样做。 Linux/Unix 具有强大的权限系统。确保没有任何敏感文件可供others. 这可以通过限制对路径上任何目录的访问来完成。 将主目录的权限设置为700只允许用户和根用户查看内容的情况并不少见。使用他们自己的组设置您的受限用户,这在某些发行版上是默认设置。 审核您的系统以查看可以使用others权限访问哪些文件。 如果某些敏感数据在数据库中,请审核其权限。 如果您允许用户访问浏览器,他们通常能够浏览文件系统。除了 kiosk 模式,您可能需要考虑使用 achroot将它们限制在系统的一小部分。对于 X-window 环境,这可能很难设置,因为它需要相当数量的文件和设备。我希望xguest配置文件需要允许访问与 chroot 环境相同的文件和目录。您可以结合它实现深度防御的方法。 尝试将 X-window 用户限制为单个应用程序相对容易。只需启动该应用程序,而不是启动一个窗口管理器。只要该应用程序无法启动其他应用程序,您就已将它们限制为该应用程序。探索该应用程序的功能,因为它可能能够浏览并可能执行文件。它是否具有kiosk旨在限制访问的模式。 如果配置中存在缺陷,用户可能能够越狱。我已经使用了一些技巧来访问explorer本应锁定的 Windows 系统上的其他工具。这是正确的文件和目录权限发挥最大作用的地方。 Abc Xyz 2015-10-03T17:39:58+08:002015-10-03T17:39:58+08:00 1. 将敏感数据保存在外部驱动器上。 我的经验表明,firefox 可以生成 ssh 进程并尝试连接恶意 ip。在使用 Firefox 的一年中,我尝试了大约 200 次。因此,如果可能的话,将敏感数据保留在外部驱动器上或作为另一个用户生成 Firefox。 2. 添加第二个用户。 OP 的问题并不严格,因为我们不知道他是否也会使用这台 PC。因此,创建另一个用户并安装 Windows Manager 之类的 Fluxbox 就足够了。 3.仅对第二个用户执行“ startx browser ”。 因此,对于第二个用户,您可以编辑(在我的情况下,我使用 lxqt):./etc/X11/xinit/xinitrc.lxqt或者./usr/bin/startlxqt在那里添加您的浏览器。 4. 如果你只想要 kiosk 操作系统,试试porteus 有什么问题,如果你想让我扩展我的答案,请问。
如果您有敏感文件,请从保护文件开始。即使您不打算让其他用户访问系统,也应该这样做。
Linux/Unix 具有强大的权限系统。确保没有任何敏感文件可供
others. 这可以通过限制对路径上任何目录的访问来完成。将主目录的权限设置为
700只允许用户和根用户查看内容的情况并不少见。使用他们自己的组设置您的受限用户,这在某些发行版上是默认设置。审核您的系统以查看可以使用
others权限访问哪些文件。如果某些敏感数据在数据库中,请审核其权限。
如果您允许用户访问浏览器,他们通常能够浏览文件系统。除了 kiosk 模式,您可能需要考虑使用 a
chroot将它们限制在系统的一小部分。对于 X-window 环境,这可能很难设置,因为它需要相当数量的文件和设备。我希望xguest配置文件需要允许访问与 chroot 环境相同的文件和目录。您可以结合它实现深度防御的方法。尝试将 X-window 用户限制为单个应用程序相对容易。只需启动该应用程序,而不是启动一个窗口管理器。只要该应用程序无法启动其他应用程序,您就已将它们限制为该应用程序。探索该应用程序的功能,因为它可能能够浏览并可能执行文件。它是否具有
kiosk旨在限制访问的模式。如果配置中存在缺陷,用户可能能够越狱。我已经使用了一些技巧来访问
explorer本应锁定的 Windows 系统上的其他工具。这是正确的文件和目录权限发挥最大作用的地方。1. 将敏感数据保存在外部驱动器上。
我的经验表明,firefox 可以生成 ssh 进程并尝试连接恶意 ip。在使用 Firefox 的一年中,我尝试了大约 200 次。因此,如果可能的话,将敏感数据保留在外部驱动器上或作为另一个用户生成 Firefox。
2. 添加第二个用户。
OP 的问题并不严格,因为我们不知道他是否也会使用这台 PC。因此,创建另一个用户并安装 Windows Manager 之类的 Fluxbox 就足够了。
3.仅对第二个用户执行“ startx browser ”。
因此,对于第二个用户,您可以编辑(在我的情况下,我使用 lxqt):
./etc/X11/xinit/xinitrc.lxqt或者./usr/bin/startlxqt在那里添加您的浏览器。4. 如果你只想要 kiosk 操作系统,试试porteus
有什么问题,如果你想让我扩展我的答案,请问。