Forum Linux.debian/ubuntu [Dapper] Utilisateur restreint

Posté par (page perso) .
Tags : aucun
0
30
mai
2006
Bonjour,

je souhaite mettre en place un système sous Ubuntu Dapper avec un compte « admin » A (le premier créé par l'installeur) qui serait utilisé par moi pour les tâches d'admin, et un compte restreint B qui serait le vrai compte utilisé tous les jours.

Je souhaite que B :

* puisse utiliser le système « normalement » (surf, bureautique)
* ne puisse utiliser que les exécutables légitimes installés ailleurs que /home
* ne puisse si possible pas changer certains réglages dans le menu de GNOME (du genre les options de montage de périphs amovibles)

Pour cela j'ai pensé à mettre /home sur une partoche à part montée avec noexec. Il faudrait également mettre /tmp et /var/tmp en noexec mais les problèmes (dpkg utilise des exe temporaires dans /tmp) ne valent pas le coup par rapport au risque (les utilisateurs de B ne seront je pense pas assez avancés pour penser à copier leurs exe là-bas).

Par ailleurs j'aimerais spécifier de monter les médias amovibles type UMS en noexec, mais ça je ne sais pas où le faire (pas dans fstab en tout cas, et dans /etc/udev/rules.d/40-permissions.rules ça n'a eu aucun effet quand j'ai mis « MODE="0644" » sur la ligne relative à l'USB).

Alors je cherche des idées de trucs à régler que j'aurais oubliés, et des méthodes pour faire ce à quoi j'ai pensé, ou toute autre aide :)

Pour situer, la bécane est le PC du Bureau des Élèves de mon école, qui ainsi servira exclusivement à l'usage associatif auquel elle est dédiée (contrairement à maintenant avec un XP en ruines et sans politique de sécurité).
  • # dans l'ordre...

    Posté par . Évalué à 1.

    le compte A est le premiet compte demander à l'installation ubuntu
    il peut donc se faire passer pour root (sudo -s ou sudo commande) et installer/modifier et utiliser les logiciels

    le compte B sera, si tu ne precises rien, simple utilisateur

    sous linux il est relativement peu aisé d'installer des logiciels sans passer par le logiciel adequate (synaptic, aptitude).

    et pour pouvoir utiliser ces logiciels il faut etre root ou pouvoir se faire passer pour tel (sudo...)

    il reste alors l'option de compiler son logiciel mais la ca devient de la parano car il suffit de ne pas installer le necessaire de compilation (gcc, make etc etc)

    voila pour l'aspect securité d'un poste linux
    • [^] # Re: dans l'ordre...

      Posté par (page perso) . Évalué à 2.

      Je viens d'installer une Dapper avec cette config (/home noexec et utilisateur B créé a posteriori et sans droits d'admin) et tout marche comme il faut (pas de possibilité de config le système pour B et pas de possibilité d'exécuter de prog DL sur le net).

      Reste le problème des éventuels programmes sur une clé USB...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.