שלום ויום מוצלח לנו ולכל עם ישראל אמן אמן!!

האם יש לי אפשרות להתקין תוכנה או להריץ פקודה שתנעל דברים מסוימים במערכת (לדוגמה תוכנות מסוימות או פעולות מסוימות במערכת או בטרמינל) ולא יהיה אפשר למחוק או לבטל אותה אלה בסיסמה? (חשוב שלא תנעל את כל הטרמינל אבל גם אם תנעל זה אני ישמח לדעת עליה)(קצת כמו applock לאנדרויד).

שאלה נוספת: האם יש תוכנה כמו "k9" לlinux(חסימת אתרים כולל שליטה איזה וכו)? שאלה נוספת האם אפשר לעשות שיהיה 2 סיסמאות הטרמינל אחת על חלקים מסוימים ואחת על הכל?

תודה רבה על העזרה ויום נפלא.

רציתי לציין שאני לא מתקין את המערכת עד שאני יודע אם אפשר לעשות את הדברים האלה ולכן אני לא יכול לנסות לבד. בנוסף חיפשתי תשובות ולא כל כך מצאתי (גם לא הבנתי מה לחפש).

שוב תודה רבה ויום נפלא.

מערכת ההרשאות של לינוקס תוכננה לאפשר לכל משתמש מקס' יכולות, עד שהוא מגיע לתחום ששייך למשתמשים אחרים או למערכת ההפעלה. ניתן לסכם את זה על ידיי הכללים :

root - מנהל המערכת, הוא בעל המערכת המוחלט, ויכול לעשות על המערכת שלו כל דבר (הכוונה היא בעיקר לפעולות ממש ולא ל "יכול למנוע ממשתמש אחר משהוא")

user - יכול לעשות על המערכת כל דבר במסגרת המשתמש שלו, כלומר, לא כולל אפשרות לקרוא ולכתוב בתיקיה של משתמש אחר, ולא כולל לשנות קבצי מערכת

לכן חלק מהדברים שאתה רוצה מתקיימים פשוט מכך שלינוקס בנויה כמערכת מרובת משתמשים, חלק אחר הם הגבלות שניתן להוסיף בצורה מלאכותית בדרכים שונות, אבל לא תמיד ניתן ולא תמיד בצורה מושלמת

לכל משתמש יש את הסיסמה וההרשאות שלו. המשתמשים המוגבלים דיי לא אמורים להיות יכולים לפגוע במערכת ההפעלה, אלא רק בהגדרות של היוזר שלהם. זה מתקיים גם בקונסול

יש כמה דברים שעליך לדאוג להם נקודתית - למשל, למקם את תיקיות הבית וה temp של המשתמש על מחיצה נפרדת כך שלא יוכל לתקוע את המערכת לכל המשתמשים על ידיי מילוי מחיצת ה /, או להשתמש ב quotas

אתה יכול לבטל פקודות מסוימות על ידיי uninstall להתקנות שמכילות אותן - אם אלה לא התקנות קריטיות לעבודת המערכת או הדסקטופ. אבל זה לא הגנה מושלמת - המשתמש יוכל להביא בעצמו את הקבצים הבינאריים של הפקודות שהוא רוצה להריץ

אתה יכול לתת למשתמש shell מוגבל במקום bash, אבל זה לא מונע ממנו להשיג ולהריץ בינארי של bash, או להריץ ישירות כל בינארי של הפעולה שהוא רוצה דרך הדסקטופ

קיימים פילטרים לסינון אתרים שעובדים בצורת פרוקסי מקומי - התקשורת מהדפדפן מנותבת למחשב עצמו, עוברת דרך תוכנת הסינון ומופנה שוב החוצה. תריץ חיפוש במנהל ההתקנות של המערכת או בגוגל "linux internet filtering" "linux content filtering" וכו לשמות של תוכנות

בנימה אישית, נדמה שאתה מנסה לבנות מחשב מוגבל לילדים. לדעתי זו טעות בגישה. עליך להשקיע את המאמץ בהדרכת הילדים, הקשבה אליהם, והדגמה שאתה סומך עליהם. הגבלת המחשב לא מסתדרת אם אף אחד מאלה

תממש הרשאות נקודתית עם sudo.

תודה רבה על התגובה המפורטת.

הבנתי את הרוב אבל יש כמה שלא:

1. אך אני עושה סיסמה רק לרוט?

2.איזה גבולות אפשר לעשות? ואך?

3.מה זה quotas? במה זה bash?

4.יש פילטרים מומלצים או טובים יותר? או אך מזהים?

תודה על העצה.

5."תממש הרשאות נקודתיות עם sudo", לא אך עושים?

תודה רבה מראש ויום נפלא ומוצלח לכל עם ישראל אמן. וד" יעזור לנו.

דרך אגב יש תוכנה לחסימת תוכנות? כמו באנדרויד? (Applock ואו). אני מתלבט אם התשובה הייתה רק לגבי פעולה מהטרמינל.

לכל משתמש יש את הסיסמה שלו

הגבולות "הנורמליים" של מערכת מרובת משתמשים כבר קיימים : כל משתמש יכול לעשות פעולות ולשנות הגדרות שישפיעו עליו עצמו בלבד, ולא יכול לפגוע או לגשת למידע של המשתמשים האחרים

גבולות אחרים לא הובאו בחשבון בתכנון של המערכת (כי בשימושים נורמליים אין צורך להגביל את המשתמש לעשות דברים בתוך חשבון המשתמש שלו) תצתרך לחפש ולממש נקודתית הגבלות שאתה רוצה : תחפש בגוגל disable commands linux וכדומה. אבל גבולות כאלה אינם חלק ממערכת ההפעלה ולא באמת בנויים להיות אטומים. למשל אתה יכול להגביל את המשתמש לבצע פקודה מסויימת, אז הוא ישיג קובץ בינארי של הפקודה ויריץ אותו מהתיקיה שלו....

יתכן שההגנות הלא מושלמות יספיקו. מה הרמה של המשתמש שאתה מנסה להגביל ?

ניתן לממש גם את מה שציינת עם SELinux.

השאלה היא מה רמת הידע והנסיון של פותח הדיון ולאיזה צרכים זה דרוש בדיוק?

תודה רבה ממש.

אם ההגבלות שהבאתם הם מספקים אז סבבה, לא יודע אם צריך עוד.

(לא הבנתי מה זה selinux?).

איזה עוד סוגי הגנות יש? (גם כי זה פשוט מגניב אותי וגם אולי נצטרך). אחד העיניים זה שאני מסתובב עם נייד עם דברים שחשובים לי ואני מעדיף שלא יגעו וישנו. (ולמעשה גם אם יאבד לא יוכלו להשתמש/לקרוא את הדברים שבו (לפחות לדברים מסויימים).

בעיקרון מה שאמרתם מספיק לי אבל אני ישמח גם לתשובות האלה.

ממש תודה לכם על העזרה.

בעזרת ד' יום נפלא לכולם ושיהיה הכי טוב לעם ישראל(בלי נופלים ועם ניצחון אמן).

אין לי שמץ מה אתה מנסה לבנות שם, אני רק מנחש. מכאן שגם הדברים שאני מעלה הם דוגמאות באוויר

היכולות של selinux קשורות לרשימת משתמשים ופעולות שניתן לבצע על קובץ, בדומה להרשאות NTFS. ניתן להשתמש בהם על מנת לחסום אפשרות של משתמש לגשת או להריץ פקודות מסוימות - כולל מהדסקטופ

אם המטרה היא להגן על המחשב "מעצמך" (כלומר, מאחרים שיגעו בו בזמן שהוא מחובר למשתמש שלך), אתה בבעיה : למשתמש שלך תמיד תהיה גישה למידע שהוא שומר על המחשב (אחרת אתה בעצמך לא יכול לעשות כלום על המחשב). מה שאומר שלכל מי שנוגע במחשב בזמן שהמשתמש שלך מחובר תהיה אותה גישה

הפתרון שאני רואה כאן הוא לא להשאיר את המחשב מחובר למשתמש ללא השגחה - תעשה log out או lock כשאתה לא על המחשב, ותקבע סיסמאות למשתמש, להפעלת המחשב ולכניסה ל bios

כמו כן אתה יכול לעשות כמה פעולות משניות, למשל : חסימת ביצוע mount אוטומטי של usb drive, ולאפשר רק למשתמש ה root לעשות mount ידנית כך שחייבים להקיש סיסמה על מנת לגשת ל usb

תודה רבה לכם על העזרה, ממש עזרתם לי ,אני יודע שיש לאן לפנות שצריך ושיש קול ויש עונה. יום נפלא בעזרת ד' נעשה ונצליחלנו ולכל עם ישראל.