[Comm] Разрешить запуск только нескольких программ
Denis G. Samsonenko
=?iso-8859-1?q?d=2Eg=2Esamsonenko_=CE=C1_gmail=2Ecom?=
Ср Дек 24 20:41:47 MSK 2008
Привет!
24 декабря 2008 г. 22:38 Dmitriy M. Maslennikov написал:
> Какой уровень безопасности требуется? Вам достаточнотолько затруднить
> запуск "лишних" программ или запретить их строго?
Понимаете, в чём суть. У нас есть небольшой набор программ, которыми
будут пользоваться многие люди в пределах локальной сети. Сервер
доступен только внутри локальной сети.
Пользователи в основном сидят под виндой, при этом они самые разные,
от продвинутых до полных чайников.
Для каждого пользователя будет заведена учётная запись на сервере. Мне
бы не хотелось давать им доступ по ssh в оболочку или позволять им
грузиться прямо в рабочий стол.
В большинстве случаев пароли к учётным записям будут записаны на
бумажках и валяться вблизи клавиатуры, или просто сохранены в
настройках запускающих прог. А компьютеры у нас многопользовательские
в том плане, что под одной учётной записью (как правило с
административными правами :) работает куча народу. Тем более что
предполагается открыть доступ пользователям по ftp до их домашних
каталогов.
Потому в идеале я вижу это как ярлык, лежащий на рабочем столе
пользовательского десктопа, кликнув на который происходил бы коннект к
серверу и запуск нужной проги. Так будет проще и пользователям и мне.
Я вот тут что подумал. На сколько я понимаю, можно по XDMPC попасть в
xdm сервера, где залогиниться и попасть в свой рабочий стол. Можно ли
устроить, чтобы таким макаром запускался не рабочий стол, а только
нужная прога?
Например пишется небольшая программка с формой из нескольких кнопок
для запуска нужных приложений. Далее как-то делается, чтобы при
коннекте с серверу запускалась именно эта прога, а при выходе из неё
коннект бы разрывался.
По поводу безопасности. Я не думаю, что у нас в локалке есть злобные
хакеры. Так что мне это надо не столько для строгого запрещения
запуска чего бы то ни было кроме пары определённых прог, сколько для
удобства пользования данными прогами пользователчми, совершенно не
разбирающихся в юниксах и которым доступ к оболочке совершенно ни к
чему.
Просто они запустят нужную прогу, поработают, и если в ходе работы
были созданы какие-то файлы, то заберут их по ftp из своей домашней
директории.
Но поскольку пользователи будут в основном совсем не знакомы с
юниксами и принципами работы в них, то на всякий случай и хочется
предоставить им наиболее простой для них доступ для нужных им прог и
ограничить доступ ко всем остальным.
--
Всего доброго,
Денис.
Подробная информация о списке рассылки community