| Информация | ||
|---|---|---|
|
- ОС СН Смоленск 1.6
|
Пакет parsec-kiosk2
Пакет parsec-kiosk2:
- содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement);
- представляет собой обновленную версию пакета parsec-kiosk (см. Astra Linux Special Edition 1.6: Режим киоска);
- входит в состав оперативного обновления БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3) и последующих обновлений и устанавливается по умолчанию при установке этого или последующего обновления;
- установка пакета возможна на любой системе Astra Linux (в том числе на Astra Linux Common Edition).
Графический инструмент для управления профилями
Дополнительно при установке пакета parsec-kiosk2 устанавливается обновленный графический инструмент для управления профилями fly-admin-kiosk. После установки этот инструмент доступен через систему графических меню:
| Информация |
|---|
| "Пуск" - "Панель управления" - "Безопасность" - "Системный киоск". |
Инструмент позволяет:
- включать и отключать режим киоска:
- через графическое меню "Правка" - "Включить режим киоска";
- или кнопкой с изображением ключей в панели кнопок.
- изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
- создавать и изменять профили пользователей, в том числе:
- включением в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
- генерацией набора файлов из трассировки приложения:
- системного (меню "Правка" - "Создать системный профиль для приложения");
- выполняемого от имени пользователя (кнопка "Добавить файлы из") ;
- копированием существующего (типового) профиля пользователя.
Включение режима киоска
Для включения режима киоска:
- Запустить инструмент fly-admin-kiosk.
- Создать хотя бы один профиль пользователя (см. ниже).
- Включить режим киоска нажав правой кнопкой мыши на иконку
или выбрать пункт меню "Файл" - "Включить режим киоска".
Отключение режима киоска
Для отключения режима киоска:
- Запустить инструмент fly-admin-kiosk.
- Отключить режим киоска нажав правой кнопкой мыши на иконку
или выбрать пункт меню "Файл" - "Отключить режим киоска".
Создание профиля пользователя
Для создания профиля пользователя:
- Нажать в левой часть окна кнопку со знаком "+".
- В открывшемся окне выбрать пользователя и нажать кнопку "да".
Добавление контролируемого файла к профилю пользователя
- Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт).
- Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+" в панели кнопок.
- В открывшемся окне выбрать файл и нажать кнопку "Открыть".
- В появившейся записи параметров контроля файла выбрать нужные параметры.
- Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок.
Включение системных профилей в профиль пользователя
Для включения системных профилей в профиль пользователя:
- Выбрать соответствующего пользователя в списке пользователей.
- Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль").
- Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок.
Включение из командной строки ограничений пользователя при установленном модуле ядра
Включить контроль доступа и применять
Системный киоск 2 (user confinement)
Этот проект содержит юзерспейс-инструменты для обновлённого системного киоска (утилиты и профили). Сборка deb-пакета parsec-kiosk2*.deb возможна на любой системе (например, на Орле).
При установке пакета в /etc/pam.d/common-session добавляется вызов pam_exec для ppfsm: инструмента загрузки профилей в модуль ядра. Если в системе не установлен модуль parsec с поддержкой user confinement, ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.
Управление user confinement при установленном модуле ядра:
включитьограничения на работу с файлами при нарушении установленных фильтров доступа:
Command echo 1 > /sys/module/parsec/parameters/uc_enforce
Включить протоколирование нарушений установленных фильтров доступа:
Command echo 1 > /sys/module/parsec/parameters/uc_complain
Профили пакета parsec-kiosk2
Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/. При установке пакета в этот каталог устанавливается набор типовых профилей.
Синтаксис профилей киоска
"Современный" / базовый
Общий синтаксис:
| Информация |
|---|
| +file |
| <r/w/c> |
| <u/o>: |
| <имя_файла> |
Разрешить чтение/записьизменение/создание файловых объектов владельцу/невладельцуне владельцу. В имени файла могут использоваться метасимволы, например:
| Информация |
|---|
| +file |
| ? |
| u: |
| ** |
| (разрешить |
| создание, |
| запись, |
| чтение |
| владельцам |
| файлов). |
Вариант с чтением ссылки:
| Информация |
|---|
| +link |
| <r/w/c> |
| <u/o>: |
| <filename> |
Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.
| Информация |
|---|
| +link |
| r |
| o |
| /lib/ld-linux.so.2 |
Совместимый с parsec-kiosk
| Информация |
|---|
|
|
|
|
|
|
|
|
При этом:Имя
- имя файла считается литералом (спецсимволы не интерпретируются)
- ;
- любое из прав
r/xпреобразуется вr,wпреобразуется вwc
;- правила применяется одинаково и для доступа владельцев и для доступа
- не владельцев (uo)
- ;
- строка обязательно должна начинаться с символа кавычки или символа "слэш";
- если
Обязательно начало строки с кавычки или слэша.
Если- файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.
Включение файла
other-profile-nameв профиль
Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы,
слэшисимволы "слэш" в имени не допускаются
.:
| Информация |
|---|
| other-profile-name |
| Информация |
|---|
| @include other-profile-name |
Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются. Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt
| Информация |
|---|
| +file r o: /tmp/test.txt +link rw o: /tmp/link.txt |
это то же самое, как если бы мы раскрыли символьную ссылку
| Информация |
|---|
| +file r o: /tmp/test.txt +file rw o: /tmp/test.txt |
а это, в свою очередь, то же самое, что одна строчка
| Информация |
|---|
| +file rw o: /tmp/test.txt |
(объединение r и rw даёт rw)
Отключение выдачи сообщений о запрете запуска приложений
В пакете fly-wm начиная с версии 2.44.3+ci26 предусмотрена возможность отключения выдачи сообщений о запрете запуска приложений. Для использования этой возможности:
Создать файл /etc/X11/Xsession.d/03-quiet-kiosk со следующим содержимым:
Command #!/bin/bash
export FLY_KIOSK_QUIET_MODE=1- Перезагрузить операционную систему.