Ограничить пользователя определенными приложениями и ограничить запись, кроме случаев использования указанных приложений
Я пытаюсь создать аккаунт для детей.
Я хотел бы создать учетную запись пользователя, которая по умолчанию ограничивает все приложения, кроме определенного списка приложений, например firefox, Yo Frankie, Numpty Physics и т. Д. Кроме того, я хотел бы сделать всю их учетную запись не -записываемые, за исключением того, что они могут писать, если приложение позволяет им создать документ. Конечно, если приложение, которое им разрешено запускать, должно, например, записывать логи, его тоже нужно включить. Предполагаемый результат - они не смогут щелкнуть правой кнопкой мыши на рабочем столе и создать каталог или документ. Они могут загружать исполняемый файл, но не выполнять его.
Как я могу это сделать?
1 ответ
AppArmor или SELinux должны ответить.
AppArmor на данный момент кажется более распространенным, но вам нужно немного покопаться, чтобы найти информацию о его настройке для пользователей (в большинстве учебников упоминаются только профили программ, а не профили пользователей). Документация AppArmor содержит подробности, в частности краткий обзор языка и справочную информацию о языке профиля .
Требуемый уровень ограничения потребует большого количества тестирования и настройки, чтобы получить право. Есть много необходимых разрешений, которые не сразу очевидны. Например, Mozilla захочет записать историю браузера где-нибудь, и многие программы помещают файлы в иерархию / tmp. Запуск приложения из командной строки часто приводит к полезным результатам отладки, и команда strace также может быть полезна.