Ограничить то, что пользователи могут установить
Это теоретический сценарий, который возник как часть другого вопроса :
- У меня x рабочих столов Ubuntu с x [ 115] пользователей.
- У пользователей нет привилегий sudo
- Я могу позволить им устанавливать вещи через центр программного обеспечения, редактируя правила Policy Kit
- Но это позволит им установить что-нибудь (в том числе игры), что не желательно.
Мне интересно, есть ли хак, который сможет ограничить то, что может установить пользователь.
Пакеты имеют «раздел» (например, игры), поэтому мне было интересно, можно ли заставить apt игнорировать целый раздел пакетов. Или, возможно, способ настроить прокси Apt, который выполняет эту фильтрацию. Изменения могут быть глобальными (например, даже кто-то с привилегиями sudo не сможет устанавливать игры).
Любые идеи приветствуются.
Перед тем, как оставить комментарий о том, что люди могут просто взять с собой свои собственные дэбы, или загрузить гудроны из Интернета и запустить их таким образом, пожалуйста, запомните эту теоретическую ситуацию.
Если это означает, что вы сосредоточитесь на вопросе, представьте, что моим пользователям не разрешено монтировать USB, не могут выполнять действия в ~/ и не имеют разрешения на запись вне своего дома. Он заблокирован. И да, все это можно сделать.
1 ответ
Я думаю, вам следует учесть следующее:
- Создайте свой собственный репозиторий APT, используя, например, информацию из здесь , но есть еще несколько.
- Синхронизируйте только то, что вы хотите, чтобы пользователи видели
- Измените списки источников рабочего стола своих пользователей на этот репозиторий
На этом этапе ваши пользователи должны видеть только то, что вы хотите, чтобы они видели. Возможно, вам также придется проделать некоторую сложную работу с брандмауэрами, чтобы отключить доступ к исходным кодам Ubuntu по умолчанию, чтобы ваши пользователи не добавляли их в качестве пользовательских источников и не начали загружать материалы самостоятельно.