除了使用所述应用程序外,限制用户使用特定应用程序并限制写入
我正在尝试创建一个儿童帐户。
我想创建一个默认限制所有应用程序的用户帐户,除了特定的应用程序列表,即firefox,Yo Frankie,Numpty Physics等。另外,我想让他们的整个帐户不可写,如果应用允许他们创建文档,他们可能会写。 当然,如果允许他们运行的应用程序需要编写日志,那么也需要启用它。 预期的结果是他们无法右键单击桌面并创建目录或文档。 他们可能能够下载可执行文件,但不能执行它。
我怎样才能做到这一点?
AppArmor或SELinux应该回答。
AppArmor在这一点上似乎更常见,但您需要挖掘一些信息来查找有关为用户配置它的信息(大多数教程仅提及程序配置文件,而不是用户配置文件)。 AppArmor文档包含详细信息,特别是语言快速入门和配置文件语言参考 。
您需要的限制级别需要进行大量测试和调整以使其正确。 有许多必要的权限并不是很明显。 例如,Mozilla希望在某处记录浏览器历史记录,并且许多程序将文件放在/ tmp层次结构中。 从命令提示符运行应用程序通常会产生有用的调试输出, strace命令也很有用。