如何限制用户访问选定的应用程序？

Question 1

为他们提供一个没有管理权限的单独用户帐户。如果他们不需要在会话期间保存内容，那么临时访客帐户就可以了。

Answer

为他们提供一个没有管理权限的单独用户帐户。如果他们不需要在会话期间保存内容，那么临时访客帐户就可以了。

Question 2

如果你真的想限制某些用户对应用程序的访问，我想到了一些办法。所有这些办法都需要一个单独的用户帐户，但似乎没有一个办法能让我真正满意。

如果你只是想隐藏多样性和复杂性，以免让用户感到困惑，请覆盖所有“不必要的”应用程序启动器。类似于以下内容未经测试shell脚本：
```
cp -R {/usr,~/.local}/share/applications
find ~/.local/share/applications -name \*.desktop -exec sed -i -e '/^NoDisplay=/d;/^\[Desktop Entry\]$/a NoDisplay=true' \{\} +
```
然后删除中允许的应用程序的启动器~/.local/share/applications。您可以对不希望它们打开的 MIME 类型执行类似操作（对于某些应用程序）。
编写一些 apparmor 规则，禁止用户“父母”执行除允许的应用程序之外的任何操作。这可能很难，因为许多应用程序依赖于外部程序和 shell 脚本，而有些应用程序在中的某个地方有真正的二进制可执行文件/usr/lib。不过，它可能适用于一组非常有限的应用程序。

允许的合理程序集包括“coreutils”、“bash”、“python”、“perl”等软件包以及任何允许的应用程序依赖项。

我还将按照上述说明禁用应用程序启动器，以免在仪表盘、Dock、应用程序菜单或任何地方出现一堆功能失调的启动器。

Answer

如果你真的想限制某些用户对应用程序的访问，我想到了一些办法。所有这些办法都需要一个单独的用户帐户，但似乎没有一个办法能让我真正满意。

如果你只是想隐藏多样性和复杂性，以免让用户感到困惑，请覆盖所有“不必要的”应用程序启动器。类似于以下内容未经测试shell脚本：
```
cp -R {/usr,~/.local}/share/applications
find ~/.local/share/applications -name \*.desktop -exec sed -i -e '/^NoDisplay=/d;/^\[Desktop Entry\]$/a NoDisplay=true' \{\} +
```
然后删除中允许的应用程序的启动器~/.local/share/applications。您可以对不希望它们打开的 MIME 类型执行类似操作（对于某些应用程序）。
编写一些 apparmor 规则，禁止用户“父母”执行除允许的应用程序之外的任何操作。这可能很难，因为许多应用程序依赖于外部程序和 shell 脚本，而有些应用程序在中的某个地方有真正的二进制可执行文件/usr/lib。不过，它可能适用于一组非常有限的应用程序。

允许的合理程序集包括“coreutils”、“bash”、“python”、“perl”等软件包以及任何允许的应用程序依赖项。

我还将按照上述说明禁用应用程序启动器，以免在仪表盘、Dock、应用程序菜单或任何地方出现一堆功能失调的启动器。

相关内容