Toegang tot terminal blokkeren voor 1 user (gutsy 7.10)

[nielsdimmers]

Is het mogelijk om de toegang tot het programma "terminal" voor een enkele user te blokkeren, zonder dat andere programma's daar (ernstige) hinder van ondervinden?

alvast bedankt!

Niels.

[SeySayux]

Linux en niets is meer onmogelijk.

1) Maak een groep genaamd terminal:
sudo groupadd terminal
2) voeg jezelf én root toe aan deze groep:
sudo usermod -a -G terminal root
sudo usermod -a -G terminal ikke
3) verander de rechten van het terminalprogramma
sudo chown root:terminal `which gnome-terminal`
sudo chmod 750 `which gnome-terminal`
4) Iedereen die nu de terminal wilt gebruiken, moet nu in de groep terminal zitten. Voeg zo nieuwe gebruikers toe:
sudo usermod -a -G terminal gebruiker

Dat zou het moeten doen. Om gehele terminal-toegang te ontzeggen (dus ook de ctrl+alt+f1 terminals) is het nog gemakkelijker:
sudo gedit /etc/passwd
Zoek dan naar het lijntje waar de gebruikersnaam in staat van diegene die je toegang wilt ontzeggen, en verander /bin/bash daar in /bin/false.

- SeySayux

[koen_92]

Is de toegang dan volledig geblokkeerd?
De gebruiker kan dan altijd nog scripts uitvoeren.

[Johan van Dijk]

De gebruiker kan dan nog wel scripts uitvoeren, maar omdat die gebruiker als het goed is geen sudo rechten heeft kan hij niks aanpassen buiten zijn eigen home map.

[koen_92]

o ja natuurlijk

[Johan van Dijk]

Toegang tot een terminal blokkeren heeft dan ook niet echt heel veel zin denk ik

[SeySayux]

Euhm... Je kan dit uiteraard ook toepassen op de "bash" executable. Dan kan de gebruiker ook geen scripts meer uitvoeren.

- SeySayux

[koen_92]

Oh, dus op het bestand /bin/bash?
Misschien is het dan nog te omzeilen, door van internet een andere /bin/bash te halen.

[SeySayux]

Als je toegang tot /bin/bash en /usr/bin/gnome-terminal uitschakeld zoals ik hierboven heb aangegeven, en je de loginshell op /bin/false zet (ook zoals hierboven aangegeven), kan de gebruiker nooooit een loginshell starten. Een script zou moeten geherprogrammeerd worden om de nieuwe bash te gebruiken, en bovendien weet ik nog niet zo zeker of die wel zal werken (binary relocation support is er niet op Linux).

- SeySayux

[koen_92]

ok, dat is dus beter beveiligd dan bij ons op school

Daar is command.com (windows xp) nog gewoon te starten met een simpel batch-bestandje