Справочный центр

Дерево страниц

Сравнение версий

Старая версия 12

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

См. также Сравнение работы режима Киоск-2 и режима киоска



Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением № 20190912SE16

ОС ОН Орел

  • (оперативное обновление 3)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Пакет parsec-kiosk2

Пакет parsec-kiosk2:

  • содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement)
и
  • ;
  • представляет собой
обновлённую
  • обновленную версию пакета parsec-kiosk (см.

Пакет ОС обновления безопасности № 20190912SE16
Кроме того,
  • этого или последующего обновления;
  • установка пакета возможна на любой системе Astra Linux (в том числе на
ОС ОН Орел
  • Astra Linux Common Edition).
Загрузка профилей в модуль ядра

При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec для инструмента ppfsm, обеспечивающего загрузку профилей в модуль ядра:

Информация
session required pam_exec.so seteuid /usr/lib/parsec/bin/ppfsm.tcl

Если в системе не установлен модуль parsec с поддержкой user confinement, вызов ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.

Графический инструмент для управления профилями

Дополнительно при установке пакета parsec-kiosk2 устанавливается

обновлённый Изменять

обновленный графический инструмент для управления профилями fly-admin-kiosk. После установки этот инструмент доступен через систему графических меню:

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".

Image Added

Инструмент позволяет:

  • включать и отключать режим киоска:
    • через графическое меню "Правка" - "Включить режим киоска";
    • или кнопкой с изображением ключей в панели кнопок.

Кроме того, инструмент позволяет:

  • изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
Создавать
  • создавать и изменять профили пользователей, в том числе:
    Путём включения
      • включением в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
    Путём генерации
      • генерацией набора файлов из трассировки приложения:
      Системного
          • системного (меню "Правка" - "Создать системный профиль для приложения");
      Выполняемого
          • выполняемого от  имени пользователя (кнопка "Добавить файлы из") ;
      Путём копирования
        • копированием существующего (типового) профиля пользователя.

      Включение режима киоска

      Для включения режима киоска:

      1. Запустить инструмент fly-admin-kiosk.
      2. Создать хотя бы один профиль пользователя (см. ниже).
      3. Включить режим киоска нажав правой кнопкой мыши на иконку Image Added или выбрать пункт меню "Файл" -  "Включить режим киоска".

      Отключение режима киоска

      Для отключения режима киоска:

      1. Запустить инструмент fly-admin-kiosk.
      2. Отключить режим киоска нажав правой кнопкой мыши на иконку Image Addedили выбрать пункт меню "Файл" -  "Отключить режим киоска".

      Создание профиля пользователя

      Для создания профиля пользователя:

      Выбрать
      1. Нажать в левой часть окна
      приложения пункт "Профили пользователей" и выбрать в меню "Правка" - "Добавить" или нажать
      1. кнопку со знаком "+"
      в панели кнопок;
      1. .
      2. В открывшемся окне
      ввести имя
      1. выбрать пользователя и нажать кнопку "да"
      ;
      1. .

      Добавление контролируемого файла к профилю пользователя

      1. Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт)
      ;
      1. .
      2. Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+"  в панели кнопок
      ;
      1. .
      2. В открывшемся окне выбрать файл и нажать кнопку "Открыть"
      ;
      1. .
      2. В появившейся записи параметров контроля файла выбрать нужные параметры
      ;
      1. .
      2. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
      ;
      1. .

      Включение системных профилей в профиль пользователя

      Для включения системных профилей в профиль пользователя:

      1. Выбрать соответствующего пользователя в списке пользователей
      ;
      1. .
      2. Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль")
      ;
      1. .
      2. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
      ;
      1. .

      Image Removed


      Включение из командной строки ограничений пользователя при установленном модуле ядра

      1. Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

        Command
        echo 1 > /sys/module/parsec/parameters/uc_enforce


      2. Включить протоколирование нарушений установленных фильтров доступа:

        Command
        echo 1 > /sys/module/parsec/parameters/uc_complain


      Профили пакета parsec-kiosk2

      Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/.
      При установке пакета в этот каталог устанавливается набор типовых профилей.

      Синтаксис профилей киоска

      "Современный" / базовый

      Общий синтаксис:

      Информация
      +file <r/w/c> <u/o>: <filename><имя_файла>

      Разрешить чтение/записьизменение/создание файловых объектов владельцу/невладельцуне владельцу. В имени файла могут использоваться метасимволы, например:

      Информация
      +file ? u: ** (разрешить создание, запись, чтение владельцам файлов).


      Вариант с чтением ссылки:

      Информация
      +link <r/w/c> <u/o>: <filename>


      Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

      Информация
      +link r o /lib/ld-linux.so.2

      Совместимый с parsec-kiosk

      Информация

      "/file/name" rwx
          /file/name rwx
      "/file/name" r-x
      /file/name -w-

      При этом:

      • Имя имя файла считается литералом (спецсимволы не интерпретируются);
      • Любое любое из прав r/x преобразуется в r, w преобразуется в wc;
      • Правила правила применяется одинаково и для доступа владельцев и для доступа невладельцев не владельцев (uo);
      • Строка строка обязательно должна начинаться с символа кавычки или символа "слэш";
      • Если если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

      Включение файла в профиль

      Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:

      Информация
      other-profile-name


      Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:
      Информация
      @include other-profile-name

      Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются. Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt

      Информация
      +file r o: /tmp/test.txt
      +link rw o: /tmp/link.txt

      это то же самое, как если бы мы раскрыли символьную ссылку

      Информация
      +file r o: /tmp/test.txt
      +file rw o: /tmp/test.txt

      а это, в свою очередь, то же самое, что одна строчка

      Информация
      +file rw o: /tmp/test.txt

      (объединение r и rw даёт rw)

      Отключение выдачи сообщений о запрете запуска приложений

      В пакете fly-wm начиная с версии 2.44.3+ci26 предусмотрена возможность отключения выдачи сообщений о запрете запуска приложений. Для использования этой возможности:

      1. Создать файл /etc/X11/Xsession.d/03-quiet-kiosk со следующим содержимым:

        Command

        #!/bin/bash
        export FLY_KIOSK_QUIET_MODE=1



      2. Перезагрузить операционную систему.