Как я могу сделать доступ к командной строке более безопасным? Есть ли способ сделать это безопасным при использовании системы в качестве гостя? После открытия пользовательского сеанса любой может открыть терминал без каких-либо учетных данных. Что именно нужно, так это запрос пароля перед открытием терминала.
Это обращается к содержанию Вашего вопроса.
Как я могу сделать доступ к командной строке более безопасным
Едва возможно ограничить доступ к командной строке. В то время как Вы могли бы ограничить доступ к установленному gnome-terminal
существуют установленные терминалы другого значения по умолчанию, которые могут быть доступом. Они включают xterm
, uxterm
,lxterm
, и x-эмулятор-терминала. Если Вы отключили, или удалите весь, принял значение по умолчанию установленные терминалы, пользователь мог бы легко загрузить терминал на свое личное пространство и выполнить командную строку оттуда.
Commanlines не нужен терминал, который будет выполняться
Многие команды, которые я выполняю, я выполняю в сценарии... часто короткий сценарий.
В то время как способы просмотреть систему и выполнить команды к вазе для содержания в одном сообщении, я дам пример одного легкого метода.
1. From the Ubuntu Dash search type gedit 2. In the window type: #!/bin/bash bash 3. Save the file as mytermial. 4. From the file browser right/cick the file -> (click) Properties -> (checkmark) Allow executing file as program -> Close 5. Now double click the file and you are in a terminal.
Вместо команды того, чтобы быть bash
это могло быть ls
просмотреть где угодно в системе, а также cat
перечислять что-либо в системе, что у пользователя есть разрешение получить доступ. Это делает единственное действительное решение, чтобы быть полномочиями проверки уязвимых данных.
Изменение Ваших системных файлов может повредить Вашу систему, мешающую пользователям (включая Вашу учетную запись) с доступом для выполнения их задачи.
В целях безопасности необходимо защитить данные путем размещения строгого доступа к определенным данным, файлам данных и каталогам данных. Например, mysql
каталог имеет уязвимые данные. Это расположено в /var/lib/mysql
область. Полномочия маски файла 700
. Это означает это только механизм базы данных Mysql
или некоторое специальное предложение root
контроллер может получить доступ к каталогу или файлам там в. Это - схема разрешения, используемая для реальной безопасности в Linux, который тестируется и работает. Методы за пределами этого могли создать вредное ложное чувство защищенности.
Существуют альтернативы, которые Вы могли установить специально для ограничения пользовательского доступа в Вашей системе. Например, Вы могли установить тюрьмы для пользователей, Вы не хотите иметь доступ для просмотра регулярной структуры каталогов. Это сделано для гостевой учетной записи по умолчанию. Заключенная в тюрьму учетная запись пользователя не сможет видеть за пределами предоставленного каталога stucture.
Посмотрите на: Jailkit. Это - ряд утилит для ограничения пользовательского доступа к определенным областям с помощью Linux chroot
и или определенные команды.
Некоторое обсуждение детали этого может быть найдено в:
Простой и простой способ заключить в тюрьму пользователей
Я не думаю, что заключенное в тюрьму альтернативное решение было бы так же хорошо как make the access to the command line more secure
быть уверенным secure the files and directories of the sensitive data
Файлы в качестве примера, показывающие биты полномочий:
drwxr-xr-x 104 root root 4096 Oct 25 10:33 /etc
-rw-r----- 1 root shadow 1119 Oct 25 09:50 /etc/shadow
Полномочия сгруппированы в тройках. Начиная со второго бита, первая группа (троек) является владельцем объекта u
. Вторая группа является группой g
, и последняя группа является другими o
. Пока у Вас нет ни одного набора битов на последней группе трех битов, обычный пользователь не сможет получить доступ к той области или файлу. Те биты read
, write
, и execute
. Поэтому удалите последний бит из своего каталога уязвимых данных, и у других не будет доступа к нему. Это может быть, покончите:
$ chmod o-x [directoryname]
Кроме того, Вы могли иметь, установлен, где пользователь может вводить каталог, но не на самом деле просматривать (или видеть непосредственно) каталог с:
$ chmod o-r [directoryname]
Можно использовать тот план легко проверить и проверить, у кого есть доступ к какой.
Окончательный ответ - то, что Вы не можете обеспечить безопасность путем внесения изменений в различные эмуляторы терминала и фактическую командную строку, потому что существует столько альтернатив для доступа к данным, не используя командную строку непосредственно, такую как filebrowser. Действительное решение для безопасности посредством управления полномочиями