GNU / Linux中的“Slave”用户帐户

1

如何使一个用户帐户与root其他一些用户帐户相似,例如能够读取,写入,chmod所有文件,从该帐户中删除以掌握和返回,杀死/删除所有流程以及所有人认为root可以,但仅限于该特定slave帐户?

现在我通过允许“主”用户进行sudo -u slaveuser设置来模拟这个setfacl -dRm u:masteruser:rwx ~slaveuser

它很有用,因为我在单独的用户帐户中运行大多数桌面程序,但有时需要在它们之间移动文件。

如果它需要一些简单的内核补丁,那就没关系。

PS标签“selinux”并不意味着我想用SELinux解决它,它只是有点相关。

linux  security  user-accounts  selinux 
六。
source
不是本身。见SELinux。
Ignacio Vazquez-Abrams 2010年
@Ignacio Vazquez-Abrams,SELinux可以做到这一点(不会侵入其他很多东西或处理它复杂的配置文件)吗?
Vi。
你为什么不给用户sudo访问权限?然后他们可以通过在它们之前键入sudo来随意运行root命令(当它们执行此操作时会提示他们输入自己的密码)。这是一个更正常的解决方案。通常不建议以root身份或以root身份运行桌面程序。如果您的桌面应用程序需要特定权限某些文件,那么您应该专门设置它。
Jarvin 2010年
对于SELinux来说,这不会是微不足道的。它只是提供了使您的方案有效的可能性。
Ignacio Vazquez-Abrams 2010年
@Dan Bad评论。主用户已经可以“sudo”(不是root用户,而是用户名)。这些程序已经在运行单独的非root帐户。但应该有一个帐户来统治它们。我不希望这个“一个帐户”成为root用户,因为我也在那里运行一些程序。
Vi。

Answers:

0

传统的unix安全模型根本不支持你想要的东西。root可以做任何事情,所有其他用户都是平等的。用户之间的复杂关系往往需要大量的工作root

一种可能的方法是在某种虚拟机中重新创建自己的Linux系统,可以使用linux-on-linux方法(如用户模式Linux或VServer),也可以使用通用虚拟机(如qemu / kvm或virtualbox)。在VM内部,您将具有root访问权限,并且能够以不同的用户舒适地运行每个应用程序。

您甚至可以在单独的轻量级虚拟机中运行每个应用程序(VServer可能最适合这个)。OLPC(每个孩子一台笔记本电脑)项目试了一下,发现性能令人满意但后来放弃了这个想法,我不知道为什么(也许在应用程序之间共享数据太麻烦了?)。

吉尔斯
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.