Я могу создать локальное только гостевая учетная запись?
Это - более или менее просто расширенный комментарий относительно Daniel Serodio'' ответ. Я запустил writitng это как комментарий, но это быстро стало слишком большим...
Чтобы шарик удара был рекурсивным, он требует shopt -s globstar. Необходимо включить globstar, иначе ** не работает. Опция оболочки globstar была представлена версии 4 удара.
Постараться не обрабатывать каталог такой как my.cpp/, используйте тест [[ -f $f ]]... Когда тест находится в двойных квадратных скобках, переменные не должны быть двойные заключенный в кавычки.
Можно также рассмотреть возможность того, чтобы там быть никакими файлами соответствия при помощи shopt -s nullglob, который позволяет шаблоны, которые не соответствуют никаким файлам для расширения до пустой строки, а не их.
Для обработки нескольких шаблонов можно объединить шаблоны шарика в цепочку: **/*.cpp **/*.h, но возможно предпочтительно, когда опция оболочки extglob идет через shopt -s extglob, можно использовать такие конструкции такой как **/*.@(cpp|h) который избегает, чтобы несколько передали по файловой системе; однажды для каждого шаблона.
Если Вы хотите .files чтобы быть включенным, использовать .*.cpp и т.д., или использование shopt -s dotglob
Для безопасной обработки изменения файла, который передается по каналу использовать sponge от пакета moreutils (это сохраняет Вас потребность создать Ваш собственный временный файл),
printf "// The License\n\n" > /tmp/$USER-license
shopt -s globstar nullglob extglob
for f in **/*.@(cpp|h) ;do
[[ -f $f ]] && cat "/tmp/$USER-license" "$f" | sponge "$f"
done
Да, можно создать учетную запись пароля меньше.
sudo useradd -m guest
sudo passwd -d guest
Важный, тем не менее, это для проверки никаких сетевых демонов как sshd предоставит доступ к учетным записям пароля меньше. Это обычно - значение по умолчанию, но хорошо проверить. Удостовериться PermitEmptyPasswords находится нет/ложь в /etc/ssh/sshd_config или просто попытайтесь ssh в гостя и посмотрите, позволяет ли он Вам. Могут быть другие демоны как Samba, на который необходимо проверить также. Если Вы хотите ограничить пользователя в доступе к Вашим локальным файлам, можно или пойти на многое как установка chroot с pam_chroot.so и т.п., или вместо этого, просто ограничьте свои данные Вами. Используйте свой корневой каталог, не позволяет "другому" классу чтения Ваши файлы и блокирует вниз любые другие местоположения, Вы думаете, что Вы должны.
Извините, у меня на самом деле нет способа сделать то, что Вы спрашиваете, но я думаю, что этот ответ будет полезен, тем не менее.
То, что делает Вы подразумеваете, “не имеет доступа оболочки”: Вы подразумеваете, что пользователь должен только смочь использовать несколько приложений (например, веб-браузер и почтовый клиент)? Если так, необходимо удостовериться, что приложения непреднамеренно не позволят пользователю выполнять произвольные команды. Это трудно гарантировать на практике.
Это является общеизвестным как установка киоска. Существует много проектов киоска Linux, но большинство стремится делать машину киоска, не учетную запись киоска, которая должна сосуществовать с другими учетными записями.
Учетную запись киоска более трудно защитить. Я думаю, что необходимо было бы использовать что-то как SELinux или технология виртуализации, чтобы препятствовать тому, чтобы гость шпионил на публично читаемых файлах (или иначе вручную сжать все полномочия, но существуют вещи, которые являются громоздкими для защиты, такие как список пользователей (/etc/passwd)). Я не знаю ни о каком проекте, который предлагает это из поля.
Должно быть относительно легко настроить гостевую виртуальную машину с VirtualBox. VirtualBox имеет режим киоска, где можно отключить все средства управления VM в GUI. Затем можно выполнить это VM как единственное приложение на X-сервере. Удостоверьтесь, что заблокировали все другие консоли, когда Вы не используете их и voilà, у Вас есть киоск vt. Конечно, VM не должен совместно использовать папку, и ее сети должны быть ограничены выходом соединений NATted.
В VM можно выполнить установку киоска, но это даже не необходимо. Просто возьмите снимок VM и отбрасывания, которые создают снимки после того, как гость использовал его. Если необходимо выполнить обновления, запустите со снимка, обновления, то сделайте новый снимок.
При возвращении к наличию гостевого пользователя (и не обращение к гостевым ограничениям сюда), на стороне аутентификации, нет ничего специального для установки в каждом менеджере по входу в систему. Смысл PAM должен быть независим от типа сессии. Сделайте пользователя, который не может обычно входить в систему, и позволять тому пользователю входить в систему через a pam_userdb строка для метода (методов) входа в систему Вы хотите авторизовать (что-то как auth sufficient pam_userdb.so db=/etc/passwd_guest в /etc/pam.d/?dm, с /etc/passwd_guest содержа guest::9999:9999:/home/guest:/bin/sh и /etc/passwd содержа guest:x:9999:9999:/home/guest:/bin/false).
-
1я просто собираюсь удалять часть ограничений, потому что дело не в этом относящийся к фактической проблеме, теперь, когда я думаю об этом..., который делает всю Вашу часть киоска ответа ненужной. – xenoterracide 08.04.2011, 00:48
su -гостю, что означает, гость не может войти в систему, который не является тем, что я пытаюсь выполнить. – xenoterracide 08.04.2011, 03:43su - guestперестанет работать, когда выполнено от X Терминалов или удаленной сессии оболочки. Поэтому в некотором файле как/etc/pam.d/common-authсуществует аргументpam_unix.soназванныйnullok_secureЭто означает пустой указатель, или вход в систему пароля меньше в порядке только, пока это находится на безопасном терминале. Некоторые случайные X Терминальных или удаленных оболочек не считают безопасными, но Вашего испытанного X/Gnome/KDE менеджера по оформлению считают доверяемым, а также локальная текстовая Консоль. Попытайтесь войти в систему через одного из тех и быть счастливыми. – penguin359 08.04.2011, 06:07nullok_secureкому:nullokесли Вы действительно хотите всегда позволить гостю входить в систему посредством какого-либо старого терминального использованияsu - guestили подобный, но я рекомендую против него. Это кажется, что Вам действительно только нужен гость для входа в систему через миленький экран Graphical Login на рабочем столе. Я протестировал свое точное решение, и оно действительно продолжило работать относительно запас и недавно установило Ubuntu 10.10. Да,su - guestдействительно перестал работать, когда я сделал это от X Терминалов, но работал от текстовой Консоли. – penguin359 08.04.2011, 06:10locate sshd_configдолжен определить местоположение его. Мой первый комментарий предположил, что nullok_secure был включен по умолчанию, который мог бы быть конкретной Ubuntu, но надо надеяться который поощрит смотреть на их конфигурацию PAM и читать страницу справочника для pam_unix или по крайней мере задавать вопрос. Быстроеgrep -r pam_unix /etc/pam.*должен помочь. – penguin359 09.04.2011, 01:15