Am Samstag 16 Oktober 2004 22:53 schrieb Christian Knoke: > On Sat, Oct 16, 2004 at 09:36:57PM +0200, Matthias Houdek wrote: > > Am Samstag 16 Oktober 2004 18:46 schrieb Christian Knoke: > > > On Sat, Oct 16, 2004 at 06:15:41PM +0200, Christian Lensch wrote: > > > > wie kann ich auf meinem Debian System einen user neu anlegen, der > > > > ausschlie�lich auf sein eigenes Homeverzeichnis Zugriff hat und > > > > nur ausgew�hlte Programme (Bsp. firefox und Thunderbird) benutzen > > > > darf. > > > > > > Das ist wohl nicht m�glich und sinnvoll. > > > > Doch, mgl. sollte das schon sein, nur eben aufw�ndig (ungestestet): > > > > Du brauchst eine neue Gruppe, z.B. "gast". > > > > Die Rechte f�r alle Programme in /usr/* musst du f�r Other auf "nicht > > ausf�hrbar" setzen (chmod o -X /usr/* -R sollte es tun, mach dir aber > > vorher ein Backup ;-). > > Der Teufel liegt halt im Detail. Welche Programme sind f�r ein > lauff�higes Debiansystem erforderlich? Das sind halt wesentlich mehr > als Firefox und Thunderbird.
Jaja, es ist nicht ganz unaufw�ndig ;-) Wobei - f�r Normal-User (so als "DAU-Schutz") sollte es reichen, das Execute-Recht f�r die Verzeichnisse /usr/* f�r "Other" rauszunehmen. Welcher Dau kennt schon den genauen Pfad einer Datei? *g* Und ohne den l�sst sich kein Programm dort aufrufen, weil man die Verzeichnisse ja nicht einsehen kann. > > Alle Programme, die ausgef�hrt werden sollen, erhalten in einem > > versteckten Ordner im Homeverzeichnis des Users ein Startscript, das > > einem Mitglied der Gruppe "user" geh�rt, bei dem das Gruppen-ID-Bit > > gesetzt ist (chmod g +s) und das auch f�r Mitglieder von "gast" oder > > den speziellen User ausf�hrbar ist. > > Das Script l�uft dann selbst mit den Rechten der Gruppe "user" und > > sollte so das entsprechende Programm starten k�nnen. > > su1 f�r Arme? Ne, so geht das nicht ... Im Prinzip sollte es schon gehen. Sicherlich k�nnte man es mit su auch machen, aber solche Programme w�rde ich z.B. auch ausschlie�en. -- Gru� MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).
