Unsere Klasse installiert endlich Mint Linux auf unseren Maschinen. Das Problem ist, dass unser Lehrer Angst hat, dass wir Kriegsspiele gegen die beiden Klassen spielen, die die Computer benutzen. Seine Lösung besteht darin, zwei separate Betriebssysteme zu installieren; Aus diesem Grund brauchen wir sudo-Fähigkeiten, aber er möchte nicht, dass wir das Betriebssystem für die andere Person kaputt machen können (entweder durch das Spielen von Kriegsspielen oder durch das Begehen von Fehlern). Seine Lösung besteht darin, zwei separate Betriebssysteme zu installieren, aber ich mag diese Idee aus mehreren Gründen nicht. Erstens haben wir MBR, was die Anzahl der Partitionen begrenzt; und zweitens ist es einfach ärgerlich, weil sie beide Mint Linux sind, also werden wir die meiste Zeit das falsche auswählen. Kennt jemand eine Möglichkeit, die beiden Betriebssysteme zu trennen, damit eine Person es nicht für die andere vermasseln kann? Ich mache mir weniger Sorgen, dass wir Kriegsspiele spielen werden, weil wir das mit den separaten Partitionen machen könnten und weil es weniger wichtig ist. Hat jemand eine Idee?
Ich dachte daran, die Befugnisse eines Benutzers einzuschränken und ihm trotzdem zu erlauben, root zu verwenden. Dies kann jedoch später zu Problemen führen. Der Lehrer möchte natürlich das Root-Konto kontrollieren.
Akzeptierte Antwort:
Es gibt zwei offensichtliche Antworten:
- Geben Sie jedem Benutzer sein eigenes Image der virtuellen Maschine. Innerhalb der virtuellen Maschine hat der Benutzer Root-Zugriff; außerhalb der virtuellen Maschine gar keine. Wenn Ihre Hardware dies unterstützt,
kvmwird dafür ziemlich gut funktionieren. Und Images virtueller Maschinen sind nur Dateien, sodass sie einfach kopiert werden können usw. Sie können Copy-on-Write-Speicher verwenden, der etwas Speicherplatz spart, falls dies ein Problem darstellt. - Verwenden Sie die neumodische Namespace-Unterstützung in Linux 3.8, die es tatsächlich jedem auf der Maschine ermöglicht, in seinem eigenen Bereich root zu sein. Hängt vor allem davon ab, wofür Sie Root benötigen. (Obwohl Sie tatsächlich eine ganze separate Distribution innerhalb eines Namensraums ausführen können, sie muss nur denselben Kernel teilen).
Im Gegensatz zu separaten Partitionen (die sehr einfach für root zu verwirren – mounten Sie es einfach), die beiden oben genannten sind tatsächlich sicher (nun, Sie haben physischen Zugriff auf die Maschine, also gelten diese Schwachstellen unabhängig davon).
Es gibt auch schmerzhaftere Dinge, wie Fähigkeiten und SELinux, je nachdem, warum Sie Root-Zugriff (sudo) benötigen. Oder natürlich, wenn Sie nur ein oder zwei Befehle benötigen, hat sudo eine eingebaute Unterstützung, um einzuschränken, welche Befehle ausgeführt werden dürfen.
Verwandte:Linux – systemd-Dienst wird manuell gestartet, aber nicht beim Booten?Bearbeiten: Weitere Informationen zu Namensräumen finden Sie unter Namensräume in Betrieb, Teil 1:Überblick über Namensräume , die insgesamt aus sechs Teilen besteht. Namensräume wurden langsam in Linux eingeführt, angefangen vor einigen Jahren. Teil 5 und 6 decken den letzten Teil ab, der in 3.8 hinzugefügt wurde und es jedem beliebigen Benutzer ermöglicht, in seinem eigenen Namensraum zu rooten.