Оглавление |
---|
Общие сведения
Режим киоска служит для ограничения прав пользователей в системе.
Для использования функциональных возможностей данного режима необходимо установить пакет parsec-cups.
Степень этих ограничений прав пользователей задается маской киоска.
Ее действие аналогично действию маски umask с тем отличием, что если umask накладывается при создании новых объектов ФС, то маска киоска накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Маска киоска задается в конфигурационном файле /etc/parsec/kiosk_mask и по умолчанию равна 0000 (режим киоска выключен).
Если маска равна 0003 (типичное значение при включенном режиме киоска), для пользователя блокируется доступ по записи и исполнению ко всем файлам, не принадлежащим ему, либо группе, в которую он входит.
При маске, равной 0000, поведение системы остается стандартным и на права доступа пользователя не накладывается никаких ограничений.
Получить текущую маску киоска можно, прочитав содержимое файла /parsecfs/mode_mask.
Маска киоска применяется только к обычным файлам. К каталогам, сокетам и т.д. маска не применяется.
В режиме киоска (маска по умолчанию) пользователь не имеет возможности запустить ни одну системную программу, т.к. эти действия замаскированы.
Команда mkiosk
Команда mkiosk позволяет задавать права доступа пользователя к конкретным файлам.
Эти права доступа не подвержены действию маски и реализованы в виде ACL на специальные виртуальные файлы ФС parsec, являющиеся ссылками на реальные файлы.
После перезагрузки все установленные ACL будут утеряны.
...
Command |
---|
mkiosk -u ttt --mask=3 --without-profile "/etc/passwd r--" |
Команда otrace
Команда otrace предназначена для трассировки процессов относительно системных вызовов open() и execve().
Синтаксис:
...
Command |
---|
otrace --merge --mask=3 -u ttt ls "/usr/bin/example r-x" |
Графический инструмент fly-admin-kiosk
Кроме средств для работы в режиме командной строки, в распоряжении администратора имеется графический инструмент fly-admin-kiosk, который может быть использован для настройки и управления режимом киоска.
Описание инструмента см. в электронной справке.
...
Далее можно использовать утилиту fly-admin-kiosk.
Настройка режима киоска для пользователя
Для разрешения входа пользователя в режиме текстовый консоли необходимо, используя механизм sudo, от имени суперпользователя root создать файл профиля для пользователя
имя_пользователя в каталоге /etc/parsec/kiosk и добавить в файл имя_пользователя перечень профилей, необходимых для разрешения входа пользователя, выполнив команды:
...
выключить режим киоска, выполнив команды:
Command echo 0000 > /etc/parsec/kiosk_mask
reboot- выполнить в графическом режиме вход в систему от имени пользователя;
войти в систему в режиме текстовой консоли от имени администратора, используя команду sudo -s, переключиться в сессию root и запустить протоколирование действий пользователя, выполнив команду:
Command otrace -a -o /etc/parsec/kiosk-profile/firefox -f --mask=3 -u имя_пользователя - дождаться перезапуска сервиса parlogd;
- перейти в графический интерфейс пользователя и запустить/завершить firefox;
- завершить сеанс пользователя;
- в консоли суперпользователя root остановить трассировку, нажав клавишу <Enter>;
подключить полученный профиль firefox для пользователя, выполнив команду:
Command echo firefox >> /etc/parsec/kiosk/имя_пользователя в консоли суперпользователя root включить режим киоска и перезагрузить ОС, выполнив команды:
Command echo 0003 > /etc/parsec/kiosk_mask
reboot
Киоск Fly
Для ограничения возможности запуска программ локальным пользователям администратор может использовать графическую утилиту fly-admin-smc. Для этого необходимо в настройках политики безопасности пользователя графической утилиты fly-admin-smc во вкладке <<Графический киоск Fly>> установить флаг <<Режим графического киоска Fly>>. Флаг включает режим киоска при работе с приложениями из списка. Если в списке одно приложение, то режим киоска включается при работе с этим приложением. Если в списке несколько приложений, то запускается Рабочий стол с этими приложениями. Все доступные каталоги, ярлыки и т.\,д. устанавливаются в соответствии с предоставленным доступом.
Настройка режима киоска с помощью графической утилиты fly-admin-smc осуществляется администратором на максимальном уровне мандатного контроля целостности, установленном в ОС.