Как правильно сделать read-only пользователя для Linux?

Question

[DVoropaev]

Цель — сделать учётную запись для демо доступа, чтобы:
1) при это пользователь не мог вносить какие либо изменения и даже писать в свою домашнюю папку.
2) мог спокойно выполнять команды для диагностики ping, cat, grep... (опять же, без внесении изменений в систему)
3) имел доступ на чтение всех файлов и папок (на сервере секретов не храню)

Comments

[Алексей Харченко]

dead-only??? Хороший юзер - мёртвый юзер. Только так.
P.S. наверное всё же read-only?

[АртемЪ]

сделать dead-only пользователя

Застрелить его, разве что.
Чем вас так пользователи обидели, что вы их убить хотите?

[DVoropaev]

Алексей Харченко, да, очепятка

[DVoropaev]

АртемЪ, read-only

Answer 1

[АртемЪ]

А смысл запрещать писать в домашнюю? Это сильно ограничит его работу, во многих случаях сделает ее невозможной. А так-то не сложно, права на папку и все.

Comments

[DVoropaev]

а роботать ему и не надо. Надо просто зайти на сервер, посмотреть характеристики, загрузку, и что на нем запущено.

Answer 2

[Karpion]

Ну, я бы решил задачу путём запуска шелла. Т.е. юзер попадает не в командную строку, а в оболочку, где есть только такие команды. Оболочка бывает менюшная, с выбором из предложенного.

Вроде, есть шеллы, в которых можно тупо задать набор команд, доступных пациенту. И ничего больше он запустить не может.

Ещё хороший способ упаковать пациента - это chroot. Но там ему надо обеспечить окружение - набор нужных ему программ и библиотек. Сложно, муторно и защищает так себе.