Gestion des droits sur des logiciels

Tags: #<Tag:0x00007f5080d52820>

Bonjour,

j’ai un pc fixe sous debian buster. Il y a plusieurs comptes utilisateurs. Comment faire pour que l’utilisateur toto ne puisse pas lancer certains logiciels, par exemple firefox? J’ai bien pensé à chmod -x sur /usr/bin/firefox-esr mais dans ce cas, il n’y a pas de message expliquant que le logiciel est bloquée par l’admin. Donc cela donne l’impression à l’utilisateur que le logiciel ne marche pas.

Et comment faire l’inverse, c’est-à-dire empêcher de lancer des logiciels, et n’autoriser que firefox?

Merc!

Tu prépares des chroot avec uniquement accés aux lots d’applis que tu veux laisser aux users restreints ?
https://lea-linux.org/documentations/Trucs:Chrooter_un_utilisateur_(ssh,_terminal,_console,_etc...)

Si l’utilisateur toto a un compte sur un système Debian GNU Linux sur lequel un logiciel est installé, il aura accès audit logiciel. La solution à votre problème serait que cet utilisateur ait un compte sur un système restreint, par exemple un conteneur lxc dans lequel ne sera installé que certains logiciels.
Je n’ai pas d’expérience avec les conteneurs embarquant un serveur graphique (Xorg ou Wayland) mais théoriquement, il n’y a pas de raison que cela ne fonctionne pas.
Bref,

  • Supprimer l’utilisateur toto du système principal
  • créer un conteneur, avec dans un premier temps qu’un système de base en mode texte
  • créer l’utilisateur totodans le conteneur, lui donner ses identifiants et le nom du conteneur. Lui signaler que dans un premier temps le navigateur sera elinks (ou autre) que vous aurez installé.
  • installer firefox-esr dans le conteneur.

Cela fait un bon nombre de manipulations mais vous conviendrez que votre demande est relativement inhabituelle. La solution chroot proposée pat @mattotop est tout ç fait valable. Un conteneur lxc s’appuie sur ce genre de technique pour faire une machine virtuelle très légère (pas de kernel). Une fois le conteneur créé, la gestion des paquets se fait comme sur le système principal.
Hier j(ai passé un conteneur qui gère des dépôts mercurial en buster sans problème tout en laissant le système hôte en stretch.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة


F. Petitjean
Ingénieur civil du Génie Maritime.

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

Ou sinon à l’image de ce que font les gens au chapeau rouge avec SElinux, mais avec Apparmor qui lui est intégré à Debian 10 :wink:

Llimiter l’accès au strict minimum peux se faire assez simplement en utilisant le bon profil d’utilisateur.

Le Handbook Debian :
https://debian-handbook.info/browse/fr-FR/stable/sect.apparmor.html

Un guide non exhaustif existant sur le wiki de Ubuntu :
https://guide.ubuntu-fr.org/server/apparmor.html

Merci pour toutes ces pistes!

Je pense que je vais m’orienter vers apparmor.

J’avoue que je pensais que ce que je demandais était plus simple que ça semble l’être. Je me rappelle quand lorsque j’utilisais Windows, je pouvais faire ça en cochant des cases qui correspondaient à des logiciels que j’autorisaien ou pas pour tel ou tel utilisateur.

salut
tu peux

merci!