Рейтинг:0

Ubuntu

ограничение доступа к запускаемым приложениям для пользователя без полномочий root

Etienne Charpy

22.10.2022, 10:33

Я пытался сделать так, чтобы пользователи без полномочий root не могли получить доступ к настройкам запускаемых приложений, что заставляет вас выбирать, какие приложения запускаются при запуске, и изменять эти настройки. Есть ли способ сделать это, возможно, сделав root владельцем приложения для запуска приложений?

Я ничего не мог найти по этому поводу. Все статьи, которые я нашел, рассказывают о запуске приложений, требующих корневого доступа, или просто о том, как использовать интерфейс запуска приложений.

1 + 1

безопасность

автозапуск приложений

Rinzwind

22.10.2022, 17:39

Возможно, было бы проще создать «сброс», чтобы вы восстановили значение по умолчанию до того, что вы хотите, чем то, что я предоставил в качестве ответа. Таким образом, чтобы отслеживать изменения, а затем запускать сброс.

Ответить

Рейтинг:1

Ubuntu

Rinzwind

22.10.2022, 11:20

Это каталог:

~/.config/автозапуск

в каждом пользовательском каталоге и

/etc/xdg/автозапуск

для глобального использования (нет необходимости касаться этого).

Войдите в свою учетную запись администратора и измените пользователя и группу на свою учетную запись администратора:
```
sudo chown $USER:$USER /home/*/.config/autostart
```
где * — все ваши обычные пользователи.

Это помешает им писать. "Другие" уже настроены на р-х поэтому нет доступа для записи.

Вам также необходимо запретить пользователям изменять параметр, называемый $XDG_CONFIG_HOME и это будет сложно ... пользователь может установить его непосредственно из командной строки только для этого сеанса.

Поэтому, если вы хотите предотвратить это, вам, вероятно, потребуется также отключить доступ к терминалу и к любому изменению ~/.профиль.

0 + 14

vanadium

22.10.2022, 12:43

Возможно, более элегантно изменить владельца и группу на «root», а не на конкретного пользователя с привилегиями sudo, поэтому просто `sudo chown root:root /home/*/.config/autostart`

Ответить

Etienne Charpy

22.10.2022, 13:11

@Rinzwind сделает ли изменение владельца невозможным добавление / удаление запускаемых приложений в список для того, кто не является владельцем?

Ответить

Etienne Charpy

22.10.2022, 13:13

@vanadium тот же вопрос!

Ответить

vanadium

22.10.2022, 13:30

Смена владельца не позволит пользователю записывать в папку, что приведет к тому, что изменения в «Настройках запускаемого приложения» не вступят в силу. Вы также можете скрыть это приложение от пользователя.

Ответить

Etienne Charpy

22.10.2022, 13:53

@vanadium Спасибо, это здорово!

Ответить

steeldriver

22.10.2022, 14:41

Могут ли пользователи обойти это, установив `$ XDG_CONFIG_HOME`, чтобы указать альтернативное местоположение?

Ответить

Etienne Charpy

22.10.2022, 15:11

@vanadium терминал заявляет, что chown не может получить доступ: /home/*/.config/autostart

Ответить

Rinzwind

22.10.2022, 15:23

@EtienneCharpy измените * на каждого из ваших пользователей. Это не удастся, если у вас есть каталог в /home/, который не является пользователем (и не имеет .config. ТАКЖЕ убедитесь, что вы используете Ubuntu; другие ОС могут не использовать концепцию xdg.

Ответить

steeldriver

22.10.2022, 16:23

... чтобы ответить на мой собственный вопрос - да, они могут (если только администратор не предпримет дополнительные шаги, чтобы запретить пользователю устанавливать `$ XDG_CONFIG_HOME` для своего сеанса). Пользователь также может просто *переименовать* принадлежащий root `~/.config/autostart` и создать свой собственный (`mv` нужно только разрешение на запись в `~/.config/`).

Ответить

Rinzwind

22.10.2022, 17:35

@steeldriver спасибо, это будет сложнее предотвратить :P

Ответить

steeldriver

22.10.2022, 18:06

@Rinzwind, да, исторически \*nix придерживался невмешательства в собственные сеансы пользователей. Я думаю, что это может быть *немного* сложнее, чем изменение `.profile`, так как `XDG_CONFIG_HOME` необходимо установить до начала сеанса.В прежние времена (если память не изменяет...) сеансы GUI пользователей запускались через оболочку входа в систему, поэтому настройки в `.profile` действительно наследуются сеансами рабочего стола, но я не думаю, что они больше ( ?). Но сеансы, запущенные из диспетчера отображения, по-видимому, получают экспорт в `~/.xsessionrc` (именно так я тестировал настройку альтернативного `XDG_CONFIG_HOME`).

Ответить

vanadium

23.10.2022, 09:25

Вы хотите «жестко заблокировать» его или этого достаточно, чтобы «не пускать честных людей»?

Ответить

Etienne Charpy

23.10.2022, 12:05

@Ринзвинд. Должны ли это быть оба пользователя или только неадминистративный вместо *? ПОСМОТРЕТЬ: sudo chown $USERNAME1:$USERNAME1 /home/USERNAME1 USERNAME2/.config/autostart ИЛИ sudo chown $USERNAME1:$USERNAME1 /home/USERNAME2/.config/autostart Где username1 является администратором, а username2 — нет.

Ответить

Rinzwind

23.10.2022, 13:53

последний @EtienneCharpy установил их всех в вашу учетную запись администратора.

Ответить

Admin

Этот вопрос на других языках:

EN: restricting access to Startup applications for non-root user

TH: การจำกัดการเข้าถึงแอปพลิเคชันเริ่มต้นสำหรับผู้ใช้ที่ไม่ใช่รูท

RO: restricționarea accesului la aplicațiile de pornire pentru utilizatorii non-root

RU: ограничение доступа к запускаемым приложениям для пользователя без полномочий root

VI: hạn chế quyền truy cập vào các ứng dụng Khởi động cho người dùng không root

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.