Тонкое ограничение доступа к ПО

[tonchikp]

Уважаемые форумчане! Требуется ваша помощь!

Вопрос про тонкое ограничение прав к программному обеспечению..
Интересует возможно ли сделать подобное. а если возможно то как именно?
Поделитесь пожалуйста своими идеями, мыслями..

В наличии:

• Операционная система Linux
  (предположим Ubuntu-производный)
• Пользователь-A-взрослый№1
  (проще говоря умеющий бережно обращаться с системой)
• Пользователь-B-ребёнок№1
  (проще говоря лезущий везде и возможно нажимающий все клавиши подряд и всё такое)
• Пользователь-C-подросток№1
  (проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе,
  предположим удалить что-то чужое, или системное)
• ПО-1-Браузер№2
  (должен быть доступен всем)
• ПО-2-Файловый менеджер№2
  (должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше,
  если не возможно, то хотя бы остальное видел в режиме только для чтения)
• ПО-3-IDE№2
  (должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)

№1 - Здесь важен именно фактор поведения, а возрастной признак дан условно, для лучшего представления..
№2 - Здесь важен именно фактор ограничения доступа к ПО, причём тонкого ограничения, а тип ПО дан условно..

[Olej]

Вам достаточно много и по-делу уже ответили на форуме, где вы изначально задали этот вопрос: Тонкое ограничение доступа к ПО.

В дополнение можно добавить только следующее:

[*]Операционная система Linux

В файловой системе UNIX (а Linux полностью из неё унаследовал) вполне достаточно и её родных простейших (казалось бы ) средств: прав доступа пользователей и групп, принадлежность пользователей к группам и флаги доступа к файлам.

[*]Пользователь-C-подросток№1
(проще говоря лезущий везде и но в отличие от предыдущего желающий намеренно нанести вред системе,
предположим удалить что-то чужое, или системное)

В Linux весьма трудно удалить что-то тебе не принадлежащее, даже если хорошо знать систему, но не иметь прав root.
Навредить сознательно случайным тыком, не зная толком системы - это вообще просто невероятно.

[*]ПО-1-Браузер№2
(должен быть доступен всем)

Браузеры (поставьте их хот десяток разных) и так по умолчанию доступны всем.

[*]ПО-2-Файловый менеджер№2
(должен быть доступен всем, однако ребёнок (а тем более подросток) чтобы видел только свой домашний каталог и не выше,
если не возможно, то хотя бы остальное видел в режиме только для чтения)

Здесь вопрос не в файловом каком-то менеджере, а в структуре файловой системы Linux.
Каждый пользователь (если он не включён с кем-то в группу сознательно) - не будет видеть чужие "домашние" каталоги других пользователей.
Всю остальную систему (в большинстве, там где это важно) он и будет видеть в режиме read-only и не сможет ничего затереть системного.

[*]ПО-3-IDE№2
(должна быть доступна только взрослому, для остальных не видна вовсе, словно не устанавливалась)[/list]

Не очень понятно что у вас за IDE и для чего.
Многие IDE могут вообще устанавливаться в домашние каталоги пользователей.
Это вообще не очень понятное требование .. в IDE, даже если это общедоступная среда, каждый пользователь получит доступ только к своим проектам. Это не свойство какой-то IDE, это следствие из общей идеологии файловой системы Linux.

В итоге:
- большинство ваших пожеланий решаются штатными средствами Linux "ис каропки", по умолчанию ...
- нужно только хорошо разобраться и распорядиться ними по-уму...
- и только реализовав 95% своих мечтов стандартными средствами Linux, можно подумать какие сторонние tools привлекать для решения оставшихся 5%
- и ни в коем случае не нужно привлекать дополнительные сторонние средства до того, как хорошо разберётесь в родной системе регламентации Linux.

[Olej]

Вам достаточно много и по-делу уже ответили на форуме, где вы изначально задали этот вопрос: Тонкое ограничение доступа к ПО.

Я там ответил, но и здесь повторю и дополню...

В Linux есть такая (родная) система принудительного контроля доступа SELinux, которая встроена в ядро Linux (и никогда никакая система пользовательского пространства не будет надёжнее чем в режиме ядра, и не сможет противостоять защите в ядре). Система SELinux позволяет расписать детальнейше все отдельные права до самых мельчайших для всех пользователей. В этой системе регламентации root может не иметь всех полномочий. Точно также, как каждый из администраторов.

Читайте здесь ... для самого поверхностного знакомства: SELinux

Две других формы контроля доступа — доступ на основе ролей и на основе многоуровневой системы безопасности. Например, «ДСП», «секретно», «совершенно секретно», «ОВ».

Третий вариант политики — «строгий». Тут действует принцип «что не разрешено, то запрещено» (принцип наименьших прав). Политика основывается на Reference Policy от компании Tresys.
SELinux был разработан Агентством национальной безопасности США, и затем его исходные коды были представлены для скачивания.

Только ... там такая громоздкая система настройки и конфигурирования, что ... "кто в SELinux прийдёт - тот там и погибнет". Добро пожаловать в Ад!

Это всё штатная составная часть Linux.
Не нужно ничего изобретать.