Как запретить пользователям РедОС изменять любые настройки?

Question

[EvgenShal]

Подскажите как на Linux системах можно ограничить пользователям доступ к персонализации, настройкам прокси, сети и т.д.
В windows это делается при помощи групповых политик, а в РедОС ничего подобного найти не могу.
Пробовал chmod 700 на файл gnome-control-center, параметры все ровно можно открыть и изменить.
Может быть есть открытое ПО которое можно для этого использовать?

Comments

[xotkot]

acl ?

[EvgenShal]

xotkot, я так понял это аналог chmod но сложнее. Если так подскажите на какие файлы, папки или приложения нужно устанавливать ограничения чтобы пользователь не мог запустить средства администрирования и настройки системы?

[xotkot]

EvgenShal, к сожалению подсказать не могу, в тему нужно сильно погружаться, а на это сейчас нету ни времени ни желания.

[Adamos]

EvgenShal, вообще, чтобы реализовать всю ту кашу, которую запрещают винды, вам придется пользователю заблокировать половину его же папки (в которой, собственно, и лежат настройки обоев, например). И проблем вы на этом пути создадите куда больше, чем решите. Потому что программам при работе таки нужно писать в папку пользователя. Лучше бы все-таки выделить важное, которое может что-то сломать (вроде настроек сети) и разбираться с ним предметно, а остальное эпоксидкой не заливать.

Ну, или, если у вас пользователь может каждый раз при включении компьютера все начинать с чистого листа - реализовать read-only домашнюю папку, подтягивающуюся с сервера, и оверлей поверх нее на текущую работу. Но это пользователь даже закладку в браузере не создаст и историю за вчера не посмотрит...

[Wexter]

https://redos.red-soft.ru/support/

[Adamos]

Сеть, надо полагать, обслуживается Network Manager?
Можно просто настроить сеть мимо него - и у пользователя просто не будет доступа к настройкам.

Вообще, проблемы с "отечественными" Линуксами решаются заменой "РедОС" на "CentOS", переводом вопроса на английский... и немного погуглить.

[be52]

если надо только gnome-control-center спрятать то можно удалить его ярлык, или изменить чтоб запускал что то другое. если делать это через редактор ярлыков запущенный от юзера то это коснется только юзера

если надо запретить трогать сеть то есть такие команды

nmcli general permissions
PERMISSION                                                        VALUE 
org.freedesktop.NetworkManager.checkpoint-rollback                auth  
org.freedesktop.NetworkManager.enable-disable-connectivity-check  да    
org.freedesktop.NetworkManager.enable-disable-network             да    
org.freedesktop.NetworkManager.enable-disable-statistics          да    
org.freedesktop.NetworkManager.enable-disable-wifi                да    
org.freedesktop.NetworkManager.enable-disable-wimax               да    
org.freedesktop.NetworkManager.enable-disable-wwan                да    
org.freedesktop.NetworkManager.network-control                    да    
org.freedesktop.NetworkManager.reload                             auth  
org.freedesktop.NetworkManager.settings.modify.global-dns         auth  
org.freedesktop.NetworkManager.settings.modify.hostname           auth  
org.freedesktop.NetworkManager.settings.modify.own                да    
org.freedesktop.NetworkManager.settings.modify.system             да    
org.freedesktop.NetworkManager.sleep-wake                         нет   
org.freedesktop.NetworkManager.wifi.scan                          да    
org.freedesktop.NetworkManager.wifi.share.open                    да    
org.freedesktop.NetworkManager.wifi.share.protected               да

конфиги лежат в /usr/share/polkit-1/actions и похожи на политики из венды Ж)

менять их надо с помощью скриптов на джаваскрипте бгг

/* /etc/polkit-1/rules.d/99-vashe_pravilo.rules */


polkit.addRule(function(action, subject) {
  if (action.id == "org.freedesktop.NetworkManager.settings.modify.system" && subject.user == "user") {
    return polkit.Result.NO;
  }
});

polkit.addRule(function(action, subject) {
  if (action.id == "org.freedesktop.NetworkManager.settings.modify.own" && subject.user == "user") {
    return polkit.Result.NO;
  }
});

и sudo systemctl restart polkit

а так можно заблокировать все настройки нетворк манагера для юзера

/* /etc/polkit-1/rules.d/99-vashe_pravilo.rules */


polkit.addRule(function(action, subject) {
  if (action.id.match(/^org\.freedesktop\.NetworkManager\..*/) && subject.user == "user") {
    return polkit.Result.AUTH_ADMIN;
  }
});

Answer 1

[CityCat4]

Возможно - запретив писать в каталог .config в домашней папке. Ну то есть взять, поменять настройку. Посмотреть, куда что записалось. Поменять другую. Опять посмотреть. И забрать права на эти каталоги. Но я не думаю, что Вы первый задались этим вопросом, наверняка его уже решали и не единожды.

Answer 2

[Zerg89]

прокси где прописан? Если в настройках сети смотри ниже, в браузере сложнее

Про сети убрать пользователя из группы netdev

chmod 700? а разве владелец файлов в home не сам пользователь просто именно там лежат настройки персонализации папки скрытые имена начинается с точки это и есть конфиги пользователя например ./remmina
Для конфигов которые не надо менять пользователю в папке пользователя
chown root:root
chmod 755

Answer 3

[wegolev]

Polkit (прежнее название: PolicyKit).
В официальной документации прописано, но работоспособность не проверял. По тексту есть пример "Изменение Network Manager только для администратора"
https://redos.red-soft.ru/base/redos-7_3/7_3-secur...

Answer 4

[mythofthelight]

это всё реализуется политиками "polkit"
они лежат в /etc/polkit-1/rules.d

пример политики, запрещающей редактирование сетевых настроек:

cat <<'EOF' > /etc/polkit-1/rules.d/60-sysvinit-nm.rules
polkit.addRule(function(action, subject) {
if (action.id=="org.freedesktop.NetworkManager.settings.modify.system")
{
return polkit.Result.AUTH_ADMIN;
}
});
EOF

Для других политик меняем action.id== на нужный.