Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением № 20190912SE16 (оперативное обновление 3)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Пакет parsec-kiosk2

Пакет parsec-kiosk2:

  • содержит инструменты для ограничения возможностей, предоставляемых непривилегированным пользователям (т.н. user confinement);
  • представляет собой обновленную версию пакета parsec-kiosk (см. Astra Linux Special Edition 1.6: Режим киоска);
  • входит в состав оперативного обновления БЮЛЛЕТЕНЬ № 20190912SE16 (оперативное обновление 3) и последующих обновлений и устанавливается по умолчанию при установке этого или последующего обновления;
  • установка пакета возможна на любой системе Astra Linux (в том числе на Astra Linux Common Edition).

Графический инструмент для управления профилями

Дополнительно при установке пакета parsec-kiosk2 устанавливается обновленный графический инструмент для управления профилями fly-admin-kiosk. После установки этот инструмент доступен через систему графических меню:

Информация
"Пуск" - "Панель управления" - "Безопасность" - "Системный киоск".

Image Modified

Инструмент позволяет:

  • включать и
выключать
  • отключать режим киоска:
    • через графическое меню "Правка" - "Включить режим киоска";
    • или кнопкой с изображением ключей в панели кнопок.
  • изменять содержимое файлов профилей (на снимке экрана приведено содержимое стандартного профиля fly-desktop, включающего стандартный профиль fly-unlock);
  • создавать и изменять профили пользователей, в том числе:
    • включением в профиль пользователя стандартных профилей (секция рабочего окна "Включить профиль");
    • генерацией набора файлов из трассировки приложения:
      Системного
          • системного (меню "Правка" - "Создать системный профиль для приложения");
      Выполняемого
          • выполняемого от  имени пользователя (кнопка "Добавить файлы из") ;
        • копированием существующего (типового) профиля пользователя.

      Включение режима киоска

      Для включения режима киоска:

      1. Запустить инструмент fly-admin-kiosk.
      2. Создать хотя бы один профиль пользователя (см. ниже).
      3. Включить режим киоска нажав правой кнопкой мыши на иконку Image Added или выбрать пункт меню "Файл" -  "Включить режим киоска".

      Отключение режима киоска

      Для отключения режима киоска:

      1. Запустить инструмент fly-admin-kiosk.
      2. Отключить режим киоска нажав правой кнопкой мыши на иконку Image Addedили выбрать пункт меню "Файл" -  "Отключить режим киоска".

      Создание профиля пользователя

      Для создания профиля пользователя:

        Выбрать
      1. Нажать в левой часть окна
      2. приложения пункт "Профили пользователей" и выбрать в меню "Правка" - "Добавить" или нажать
      3. кнопку со знаком "+"
      4. в панели кнопок
      5. .
      6. В открывшемся окне
      7. ввести имя
      8. выбрать пользователя и нажать кнопку "да".

      Добавление контролируемого файла к профилю пользователя

      1. Выбрать в левой часть окна приложения нужного пользователя (профиль пользователя должен быть ранее добавлен в приложение, см. предыдущий пункт)
      2. ;
      3. .
      4. Выбрать в меню пункт "Правка" - "Вставить файл" или нажать кнопку "+"  в панели кнопок
      5. ;
      6. .
      7. В открывшемся окне выбрать файл и нажать кнопку "Открыть"
      8. ;
      9. .
      10. В появившейся записи параметров контроля файла выбрать нужные параметры
      11. ;
      12. .
      13. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
      14. ;
      15. .

      Включение системных профилей в профиль пользователя

      Для включения системных профилей в профиль пользователя:

      1. Выбрать соответствующего пользователя в списке пользователей
      2. ;
      3. .
      4. Отметить нужные профили в нижнем правой части экрана приложения (часть "Включить профиль")
      5. ;
      6. .
      7. Выбрать пункт меню "Файл" - "Сохранить" или нажать кнопку с изображением дискеты в панели кнопок
      8. ;
      9. .

    Включение из командной строки ограничений пользователя при установленном модуле ядра

    1. Включить контроль доступа и применять ограничения на работу с файлами при нарушении установленных фильтров доступа:

      Command
      echo 1 > /sys/module/parsec/parameters/uc_enforce


    2. Включить протоколирование нарушений установленных фильтров доступа:

      Command
      echo 1 > /sys/module/parsec/parameters/uc_complain


    Профили пакета parsec-kiosk2

    Файлы с профилями parsec-kiosk2 располагаются в каталоге /etc/parsec/kiosk2-profiles/. При установке пакета в этот каталог устанавливается набор типовых профилей.

    Синтаксис профилей киоска

    "Современный" / базовый

    Общий синтаксис:

    Информация
    +file <r/w/c> <u/o>: <filename><имя_файла>

    Разрешить чтение/изменение/создание файловых объектов владельцу/не владельцу. В имени файла могут использоваться метасимволы, например:

    Информация
    +file ? u: ** (разрешить создание, запись, чтение владельцам файлов).


    Вариант с чтением ссылки:

    Информация
    +link <r/w/c> <u/o>: <filename>


    Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.

    Информация
    +link r o /lib/ld-linux.so.2

    Совместимый с parsec-kiosk

    Информация

    "/file/name" rwx
        /file/name rwx
    "/file/name" r-x
    /file/name -w-

    При этом:

    • Имя имя файла считается литералом (спецсимволы не интерпретируются);
    • Любое любое из прав r/x преобразуется в r, w преобразуется в wc;
    • Правила правила применяется одинаково и для доступа владельцев и для доступа не владельцев (uo);
    • Строка строка обязательно должна начинаться с символа кавычки или символа "слэш";
    • Если если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.

    Включение файла в профиль

    Вариант, совместимый со старым киоском. Имя включаемого файла обязано начинаться с латинской буквы, символы "слэш" в имени не допускаются:

    Информация
    other-profile-name


    Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути:
    Информация
    @include other-profile-name

    Если в файлах профилей для одного файла (и ссылок на этот файл) указаны разные разрешения, то они объединяются. Например, для файла /tmp/test.txt и ссылки на него /tmp/link.txt

    Информация
    +file r o: /tmp/test.txt
    +link rw o: /tmp/link.txt

    это то же самое, как если бы мы раскрыли символьную ссылку

    Информация
    +file r o: /tmp/test.txt
    +file rw o: /tmp/test.txt

    а это, в свою очередь, то же самое, что одна строчка

    Информация
    +file rw o: /tmp/test.txt

    (объединение r и rw даёт rw)

    Отключение выдачи сообщений о запрете запуска приложений

    В пакете fly-wm начиная с версии 2.44.3+ci26 предусмотрена возможность отключения выдачи сообщений о запрете запуска приложений. Для использования этой возможности:

    1. Создать файл /etc/X11/Xsession.d/03-quiet-kiosk со следующим содержимым:

      Command

      #!/bin/bash
      export FLY_KIOSK_QUIET_MODE=1



    2. Перезагрузить операционную систему.