我已经和Pis工作了几年了,但是我最近遇到了一些我无法解决的问题。我正在设置一些Pis作为本地库的目录机器,这意味着我创建的顾客用户应该只能从桌面访问铬。目前,我已经拒绝了顾客用户的所有sudo权限并锁定了他们对自己的文件目录(仅执行)和其他用户(无访问权限)的访问权限。我还禁用了大多数桌面图标和进一步隐藏的x-terminal,因此用户不会偶然发现它。幸运的是,这些安全措施对大多数用户来说都是可以接受的,但并不是大多数用户都关心我。
在目前为止我做过的一些测试中,我发现即使没有sudo权限,也可以在自己的用户目录中使用chmod u+rwx /home/USER。这显然不是理想的,因为它为具有足够pi体验的用户提供了修改其目录中任何内容的能力。然后我试图限制/ bin中的chmod权限只能由root用户执行,这完全可以防止顾客更改自己的修饰符,但它也会在初始登录屏幕上创建一个启动循环(输入正确的密码)生成黑屏并重新加载登录屏幕)。
现在我们已经解决了这个问题,我有几个问题,一些是为了推进这个项目,还有一些只是为了满足我的好奇心:
〜登录用户是否有某种原因会调用chmod?
〜有没有办法限制对可能导致安全威胁的chmod等命令的访问?
〜我还没有考虑过任何其他违规行为吗? /有没有办法防止他们?
是的,我知道只要用户可以物理访问Pi,几乎任何东西都可以通过USB端口,但Pi是无法访问的,所以我只是在寻找软件解决方法。