Discussion :

[nickola2]

Bonjour,

J'aimerai solliciter votre votre aide concernant la mise en place d'un nouveau système que je dois déployer dans mon entreprise, je vous pose donc une question qui peu paraître simple pour les plus expérimenter d'entre vous.

Le contexte :

Je dois transformer de vielles tour en "client léger" sur lequel doit fonctionner citrix afin que le système n'ai à traiter que la fonction de connexion à distance.
Voilà pour le contexte.

Partant sur un debian 9 64Bits, sur lequel j'ai installé citrix + divers paramétrages, j'ai mis en place un utilisateur sur lequel vont se connecter les opérateurs et comme il sera non sécurisé vu qu'il n'y aura pas de mot de passe pour ce dernier, je souhaite restreindre les accès aux terminaux ou même au panneau de configurations, le plus possible.
Je sais que c'est très bête j'ai cherché partout, mais je ne tombe que très souvent sur des tutos ubuntu..

Dans ma tête et là vous pourrez m'apporter vos conseils, l'idéal pour moi serai que l'utilisateur n'ai uniquement accès qu'au bureau et rien d'autre, car il n'a pas besoin d'aller ailleurs, surtout que se sont loin d'être des informaticiens..
Est-il possible de "figer" l'accès au bureau ? Afin qu’ils ne puissent cliquer uniquement sur l'application citrix et rien d'autre ?
J’ai regardé avec les chmod, mais c’est quelques choses ou j’ai encore du mal.

Je vous demande votre aide car je suis franchement un peu perdu techniquement sur ce point-là.

Merci à tous pour les réponses que vous pourrez me fournir !

[Flodelarab]

Bonjour

Ta démarche générale est l'inverse de celle de Linux. Bonjour les dictateurs.

j'ai mis en place un utilisateur

Généralement, on crée un groupe, et on ajoute les utilisateurs au groupe.

l'idéal pour moi serai que l'utilisateur n'ai uniquement accès qu'au bureau et rien d'autre

Pourquoi ? L'utilisateur est un malfaisant ? Quel est le risque ? Si l'employé ne respire pas à la bonne cadence pourra-t-on le sanctionner d'une décharge électrique ?
La question est plus politique que technique.
Fais signer une charte de bonne conduite qui les informent sur la sécurité, les bonnes pratiques, etc.
Si les sanctions tombent, ils ne pourront pas dire "On ne savait pas".

il n'a pas besoin d'aller ailleurs,

Donc tu es tranquille. N'est-ce pas ?
Tu leur fournis un bon outil pour travailler. Auront-ils vraiment l'envie et le temps d'aller dénaturer ton outil dédié ?

surtout que se sont loin d'être des informaticiens..

Oui mais ils ont des amis informaticiens. Cet argument ne tient pas.

Est-il possible de "figer" l'accès au bureau ?

Si tu veux faire un bunker, c'est très difficile.
Mais tu peux éviter les tentations en supprimant le droit d'exécution des logiciels (chmod dont tu parles), supprimer les terminaux, ne garder qu'un bureau, bloquer les sites internet indésirables, etc ...
Tu ne feras jamais une forteresse.


Qu'est-ce qui te fait si peur ? On dirait les chefs qui ont peur que les employés fassent leurs courses perso en même temps que celle de l'entreprise.
... la belle affaire.

J'ai dit "en même temps". Pas "avec l'argent de l'entreprise". N'est-ce pas ?

[N_BaH]

Bonjour,

si on ne peut pas faire une forteresse, on peut quand même faire une sorte de Kiosk, avec un Gestionnaire de fenêtre spartiate (dwm, i3wm, jwm...) qui ne lancera que l'application voulue au démarrage.

il est possible de redémarrer automatiquement le WM quand l'application est quittée.

le nombre de TTY lancés (par défaut 7) est configurable, donc il est possible de ne pas basculer avec Ctrl-Alt-F[1-7]

etc

[nickola2]

Oui j'en suis bien conscient malheureusement, après je ne suis pas exactement d'accord sur ce point car l'idée de faire transformer un vieille tour en un linux, c'est plutôt une bonne idée en soi. C'est la démarche que mon entreprise à de vouloir faire du linux en ayant la mentalité Windows, c'est ça qui me dérange le plus et je te rejoins sur ce point.

Généralement, on crée un groupe, et on ajoute les utilisateurs au groupe.

Voilà, j'avais un doute là-dessus, quelle serai la bonne marche à suivre ?

Fais signer une charte de bonne conduite qui les informe sur la sécurité, les bonnes pratiques, etc.
Si les sanctions tombent, ils ne pourront pas dire "On ne savait pas".

Tu leur fournis un bon outil pour travailler. Auront-ils vraiment l'envie et le temps d'aller dénaturer ton outil dédié ?

Effectivement, je suis d'accord, bon, ils ont déjà signé la charte informatique, là n'est pas le problème. Mais nous connaissons tous certains utilisateurs touche à tout, ou trop curieux, ou juste con dans, heureusement, de rares cas. Et le fait de leurs permettent l'accès au menu ou autre, même avec une formation, ils me trouveront toujours le moyen d'aller se perdre dans le menu et de m’appeler car soi-disant leur pc sera en panne, ou ça va les saouler, ou autre trouvaille..
Je ne veux pas en faire une forteresse, il faudrait que j'y passe des heures et des heures dessus, et je n'ai pas le temps malheureusement.

Juste simplement limité aux fonctions de base l'accès, comme le panneau de config ou les terminaux.


J'ai aucunement envie de fliquer ou quoi, juste nous ne sommes que 4 au service info, dans une architecture réseau très très particulière et comme je viens de commencer dans cette boite, j'essaie de faire au mieux entre les ordres que je reçois et ce que j'ai.

Je sais que ce n'est pas le meilleur moyen, ou pas dans l’esprit linux, mais je n’ai pas le choix dans l'immédiat.

Donc savez-vous s'il vous plaît, comment je peux au moins restreindre l'accès au groupe dans lequel je vais placer mon utilisateur pour au moins bloquer le panneau de config et les accès aux terminaux ?

[nickola2]

si on ne peut pas faire une forteresse, on peut quand même faire une sorte de Kiosk, avec un Gestionnaire de fenêtre spartiate (dwm, i3wm, jwm...) qui ne lancera que l'application voulue au démarrage.

Ah super, c'est plutôt ça que je cherchais, pas en faire une forteresse, mais limité du mieux que je peux la navigation dans gnome !

Merci pour ton aide