Справочный центр

Дерево страниц

Сравнение версий

Старая версия 8

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

См. также Сравнение работы режима Киоск-2 и режима киоска



Информация
titleДанная статья применима к:
  • ОС СН Смоленск 1.6 с установленным обновлением безопасности № 20190912SE16
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
    • Astra Linux Special Edition РУСБ.10015-17
    • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
    • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
    • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением № 20190912SE16 (оперативное обновление 3)

    • Astra Linux Special Edition РУСБ.10015-16 исп. 1
    • Astra Linux Special Edition РУСБ.10015-16 исп. 2
    • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
    • Astra Linux Common Edition
    ОС ОН Орёл
    • 2.12


    Пакет parsec-kiosk2

    Пакет parsec-kiosk2:

    • содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement);
    • представляет собой обновленную версию пакета parsec-kiosk (см.

    Пакет обновления ОС СН Смоленск 1.6, .
    • ;
    Кроме того,
    • установка пакета возможна на любой системе Astra Linux (в том числе на
    ОС ОН Орёл).

    Загрузка профилей в модуль ядра

    При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec для инструмента ppfsm, обеспечивающего загрузку профилей в модуль ядра.
    Если в системе не установлен модуль parsec с поддержкой user confinement, вызов ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.

    • Astra Linux Common Edition).

    Графический инструмент для управления профилями

    Дополнительно при установке пакета parsec-kiosk2 устанавливается обновленный графический инструмент для управления профилями fly-admin-kiosk

    для управления профилямиИзменять

    . После установки этот инструмент доступен через систему графических меню:

    Информация
    "Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".

    Image Added

    Инструмент позволяет:

    • включать и отключать режим киоска:
      • через графическое меню "Правка" - "Включить режим киоска";
      • или кнопкой с изображением ключей в панели кнопок.

    Кроме того, инструмент позволяет:

    • изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
    Создавать
    • создавать и изменять профили пользователей, в том числе:
      Путём включения
        • включением в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
      Путём генерации
        • генерацией набора файлов из трассировки приложения:
        Системного
            • системного (меню "Правка" - "Создать системный профиль для приложения");
        Выполняемого
            • выполняемого от  имени пользователя (кнопка "Добавить файлы из") ;
        Путём копирования
          • копированием существующего (типового) профиля пользователя.

        Включение режима киоска

        Для включения режима киоска:

        1. Запустить инструмент fly-admin-kiosk.
        2. Создать хотя бы один профиль пользователя (см. ниже).
        3. Включить режим киоска нажав правой кнопкой мыши на иконку Image Added или выбрать пункт меню "Файл" -  "Включить режим киоска".

        Отключение режима киоска

        Для отключения режима киоска:

        1. Запустить инструмент fly-admin-kiosk.
        2. Отключить режим киоска нажав правой кнопкой мыши на иконку Image Addedили выбрать пункт меню "Файл" -  "Отключить режим киоска".

        Создание профиля пользователя

        Для создания профиля пользователя:

        Выбрать
        1. Нажать в левой часть окна
        приложения пункт "Профили пользователей" и выбрать в меню "Правка" - "Добавить" или нажать
        1. кнопку со знаком "+"
        в панели кнопок;
        1. .
        2. В открывшемся окне
        ввести имя
        1. выбрать пользователя и нажать кнопку "да"
        ;
        1. .

        Добавление контролируемого файла к профилю пользователя

        1. Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт)
        ;
        1. .
        2. Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+"  в панели кнопок
        ;
        1. .
        2. В открывшемся окне выбрать файл и нажать кнопку "Открыть"
        ;
        1. .
        2. В появившейся записи параметров контроля файла выбрать нужные параметры
        ;
        1. .
        2. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
        ;
        1. .

        Включение системных профилей в профиль пользователя

        Для включения системных профилей в профиль пользователя:

        1. Выбрать соответствующего пользователя в списке пользователей
        ;
        1. .
        2. Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль")
        ;
        1. .
        2. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
        ;Image Removed
        1. .

        Включение из командной строки ограничений пользователя при установленном модуле ядра

        1. Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

          Command
          echo 1 > /sys/module/parsec/parameters/uc_enforce


        2. Включить протоколирование нарушений установленных фильтров доступа:

          Command
          echo 1 > /sys/module/parsec/parameters/uc_complain


        Профили пакета parsec-kiosk2

        Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/.
        При установке пакета в этот каталог устанавливается набор типовых профилей.

        Синтаксис профилей киоска

        "Современный" / базовый

        Общий синтаксис:

        Информация
        +file <r/w/c> <u/o>: <filename><имя_файла>

        Разрешить чтение/записьизменение/создание файловых объектов владельцу/невладельцуне владельцу. В имени файла могут использоваться метасимволы, например:

        Информация
        +file ? u: ** (разрешить создание, запись, чтение владельцам файлов).


        Вариант с чтением ссылки:

        Информация
        +link <r/w/c> <u/o>: <filename>


        Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

        Информация
        +link r o /lib/ld-linux.so.2

        Совместимый с parsec-kiosk

        Информация

        "/file/name" rwx
            /file/name rwx
        "/file/name" r-x
        /file/name -w-

        При этом:

        • Имя имя файла считается литералом (спецсимволы не интерпретируются);
        • Любое любое из прав r/x преобразуется в r, w преобразуется в wc;
        • Правила правила применяется одинаково и для доступа владельцев и для доступа невладельцев не владельцев (uo);
        • Строка строка обязательно должна начинаться с символа кавычки или символа "слэш";
        • Если если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

        Включение файла в профиль

        Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:

        Информация
        other-profile-name


        Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:
        Информация
        @include other-profile-name

        Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются. Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt

        Информация
        +file r o: /tmp/test.txt
        +link rw o: /tmp/link.txt

        это то же самое, как если бы мы раскрыли символьную ссылку

        Информация
        +file r o: /tmp/test.txt
        +file rw o: /tmp/test.txt

        а это, в свою очередь, то же самое, что одна строчка

        Информация
        +file rw o: /tmp/test.txt

        (объединение r и rw даёт rw)

        Отключение выдачи сообщений о запрете запуска приложений

        В пакете fly-wm начиная с версии 2.44.3+ci26 предусмотрена возможность отключения выдачи сообщений о запрете запуска приложений. Для использования этой возможности:

        1. Создать файл /etc/X11/Xsession.d/03-quiet-kiosk со следующим содержимым:

          Command

          #!/bin/bash
          export FLY_KIOSK_QUIET_MODE=1



        2. Перезагрузить операционную систему.