Вопрос или проблема
Я хотел бы сделать так, чтобы Skype был защищен паролем sudo. Например, если я открываю gufw, загруженный из центра приложений Ubuntu, когда я запускаю программу, чтобы ее открыть, она просит меня ввести пароль sudo, без пароля программа не может быть использована. Я хотел бы использовать пароль sudo, чтобы предотвратить открытие Skype. В случае с gufw это происходит в графическом интерфейсе. Как я могу настроить запуск Skype исключительно с паролем sudo, как например по умолчанию для gufw?
$ whereis skype skype: /snap/bin/skype
.
Ответ или решение
Для того чтобы ограничить запуск программы Skype с помощью ввода пароля через команду sudo на системе Ubuntu, есть несколько подходов, которые можно реализовать. Эти методы предполагают изменения в настройках системы, чтобы Skype можно было запускать только с правами суперпользователя. В качестве обоснования приведем теорию, пример и способы применения этой конфигурации.
Теория
Программы в UNIX-подобных системах, таких как Ubuntu, могут запускаться с разными уровнями привилегий. Команда sudo позволяет выполнять команды с повышенными привилегиями, предоставляя временный доступ к функциям, которые обычные пользователи не могут использовать. Интернет-пейджер Skype по умолчанию может работать с обычными пользовательскими привилегиями, но ваша цель — ограничить его запуск, требуя прав администратора.
Пример
Ваша задача аналогична тому, как реализована защита на запуск утилиты gufw (графический интерфейс для управления файерволом UFW). Когда пользователь пытается открыть gufw, система запрашивает пароль суперпользователя через графический интерфейс. Сделать аналогичное для программ, запускаемых из командной строки, можно путем перенастройки прав доступа к файлу запуска Skype.
Применение
Чтобы ограничить доступ к программе Skype, выполните следующие шаги:
-
Проверьте путь к исполняемому файлу Skype.
Уже предоставленная информация указывает местоположение исполняемого файла Skype в системе:
/snap/bin/skype. -
Измените права доступа к файлу.
Изменив права доступа, можно сделать так, чтобы лишь суперпользователь мог исполнять данный файл. Для этого выполните команды:
sudo chmod 700 /snap/bin/skypeУказанная команда изменяет права файла таким образом, что только владелец файла (root, если исполняемый файл принадлежит root после установки) может его запускать.
-
Создайте скрипт-обертку.
Это необходимо для изменения пути запуска так, чтобы пользователи не могли напрямую обратиться к оригинальному бинарному файлу без прав суперпользователя:
echo -e "#!/bin/bash\nsudo /snap/bin/skype" | sudo tee /usr/local/bin/skype sudo chmod +x /usr/local/bin/skypeУказанный скрипт располагается в
/usr/local/bin/, что обеспечивает его приоритетное обнаружение в PATH раньше, чем оригинальная команда в/snap/bin/. -
Настройки в visudo.
Если конфигурация должна быть ужесточена таким образом, чтобы каждый раз при запуске Skype запрашивался ввод пароля, отредактируйте файл sudoers, где прописаны права для пользователя:
sudo visudoВ добавляемой строке укажите:
%users ALL=(ALL) ALLЭто указывает, что все пользователи должны вводить пароль для выполнения команд через sudo, если данная строка уже не содержится в конфигурации sudoers.
Дополнительные соображения
Потенциальные риски:
- Сообщите пользователям, что любые изменения в системных правах и файлах sudoers потенциально могут увеличить риск нарушения безопасности, если они не выполняются с осторожностью.
- Убедитесь, что доступ к sudo ограничен надежными паролями и минимальной группой пользователей.
Альтернативные подходы:
- Разработка графического интерфейса для запуска Skype с подтверждением прав администратора, аналогичного алгоритму работы gufw.
- Использование настроек parental control или пакетов, подобных AppArmor, для ограничения запуска программ.
В итоге предложенная конфигурация позволит вам ограничить запуск Skype, требуя авторизации через sudo, но потребует иждивения на защиту с использованием пароля и осторожного обращения с конфигурационными файлами системы.