Системный киоск 2 Пакет parsec-kiosk2 (user confinement)
Этот проект Пакет parsec-kiosk2 содержит инструменты непривилегированного пользователя для обновлённого системного киоска (утилиты и профили). Пакет входит в дистрибутив ОС СН Смоленск 1. Установка и сборка deb-пакета parsec-kiosk2*.deb
6 и устанавливается по умолчанию.
Установка пакета возможна на любой системе (например, на ОрлеAstra Linux (в том числе на ОС ОН Орёл).
При установке пакета parsec-kiosk2 в PAM-стек (в файл /etc/pam.d/common-session) добавляется вызов pam_exec
для инструмента ppfsm: инструмента загрузки , обеспечивающего загрузку профилей в модуль ядра.
Если в системе не установлен модуль parsec с поддержкой user confinement, ppfsm немедленно завершается с кодом возврата "успех", не совершая никаких действий.
Управление user confinement при установленном модуле ядра:
Синтаксис профилей киоска
"Современный" / базовый
Разрешить чтение/запись/создание владельцу/невладельцу. В имени файла могут использоваться метасимволы, например:
Вариант с чтением ссылки:
Имя файла должно соответствовать существующей символьной ссылке. Целевой файл для ссылки (который не обязан существовать в момент загрузки профиля) добавляется в список доступных. Метасимволы в имени файла (ссылки) не интерпретируются.
Совместимый с parsec-kiosk
Имя файла считается литералом (спецсимволы не интерпретируются), любое из прав r/x
преобразуется в r
, w
преобразуется в wc
, правило правила применяется и для доступа владельцев и для доступа невладельцев (uo).
Обязательно начало строки с кавычки или слэша.
Если файл представляет символьную ссылку, в вывод профиля попадает целевой файл ссылки.
Включение файла
other-profile-name
Вариант, совместимый со старым киоском. Имя обязано начинаться с латинской буквы, слэши в имени не допускаются.
@include other-profile-name
Новый вариант (включение в явной форме). Можно использовать абсолютные и относительные пути.