Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents


Info

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 - Update 5

  • ОС ОН Орел 2.12.21ОС СН Смоленск 1.6 Update 5


Описание

При использовании графического киоска пользователю или группе разрешается запускать только те приложения, которые явно указаны в их профиле. На пользователя действуют ограничения только если подкаталог с его профилем существует в каталоге /etc/fly-kiosk или этот пользователь входит в группу, для которой существует профиль в каталоге /etc/fly-kiosk (этот каталог по умолчанию не существует, и создаётся при включении режима графического киоска). Профиль пользователя или группы представляет собой набор ярлыков и настроек. Поиск профиля осуществляется по имени пользователя/группы. Например, профили для пользователя с именем user и группы с именем group будут найдены если существуют каталоги:

/etc/fly-kiosk/user
/etc/fly-kiosk/group

Для группы дополнительно необходимо указать что это профиль группы. В конфигурационном файле /etc/fly-kiosk/group/fly-kiosk.conf должна быть строка IsGroup=true

Info
При одновременном включении графического киоска и у пользователя и у группы будет применен только профиль пользователя.

Далее по тексту будут использованы в качестве примера имя пользователя user и название группы group.

Info
Графический киоск поддерживает работу с доменными пользователями и группами, но профили киоска при этом должны располагаться на компьютере, на котором происходит вход пользователя.


Note
Ограничение доступа при использовании графического киоска происходит на уровне графической среды.

Отличие от системного киоска

В отличие от графического киоска, ограничивающего доступ на уровне графической среды, системный киоск ограничивает пользователя на более низком уровне, на уровне ядра системы. Ограничение происходит на уровне доступа к конкретным файлам. Системный киоск обеспечивает более надежную защиту от несанкционированного доступа чем графический. Более подробно: Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя).

Настройки

На момент написания статьи у графического киоска есть следующие возможности:

  1. Автозапуск приложений для всех пользователей графического киоска. Ярлыки приложений должны лежать в каталоге /etc/xdg/autostart и содержать строку OnlyShowIn=fly-kiosk

  2. Автозапуск приложений для конкретного профиля пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/autostart

  3. Размещение ярлыков на рабочем столе пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/desktop

    1. Размещение ярлыков на панели задач пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/toolbar

  4. Режим одного приложения. В данном режиме приложение запускается при входе на весь экран. Панель задач отсутствует, верхняя панель приложения отсутствует (т.е. закрыть "крестом" или свернуть приложение невозможно, необходимо завершать приложение его собственными средствами). При выходе из приложения текущая сессия завершается. Ярлык приложения должен лежать в каталоге /etc/fly-kiosk/user/single

  5. Другие разрешенные приложения. Данные приложения нигде не будут размещены, но могут быть запущены через другие приложения. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user

  6. Конфигурационный файл /etc/fly-kiosk/user/fly-kiosk.conf имеет следующие опции:
    1. EditableDesktop=false. Данная опция позволяет создавать файлы на рабочем столе. Например, сохранение документа на рабочем столе.
    2. EditableTheme=false. Данная опция позволяет редактировать пользовательские настройки оформления, темы и т.д.
    3. IsGroup=false. Данная опция указывает является ли данный профиль профилем группы.


Code Block
languagebash
titleПример профиля для пользователя user
/etc/fly-kiosk/user
├── autostart
│   └── fly-vkbd.desktop
├── desktop
│   └── firefox.desktop
├── single
├── toolbar
│   └── start.desktop # ярлык приложения "Меню Пуск"
├── exit.desktop # нужен для отображения диалога выхода
├── fly-kiosk.conf
└── fly-open.desktop # нужен для открытия документов с рабочего стола



Info

Для отображения ярлыка приложения "Меню Пуск" на панели всегда слева от других ярлыков, создайте файл /etc/fly-kiosk/user/toolbar/.directory со следующим содержимым:

No Format
[Desktop Entry]
Name=Toolbar
Type=Directory
Icon=kmenuedit
SortOrder=start.desktop;
X-FLY-IconContext=Applications



Графическая утилита настройки

Все вышеперечисленные настройки для пользователей и групп можно выполнить с помощью графической утилиты "Политика безопасности" ("Меню Пуск" -> "Панель управления" -> "Безопасность" -> "Пользователи" или "Меню Пуск" -> "Панель управления" -> "Безопасность" -> "Группы"). В графической утилите присутствуют дополнительные возможности:

  1. Сохранение настроенного профиля по указанному пути. Например, для последующего распространения через системы управления конфигурациями.

  2. Настройка FireJail для выбранного приложения.

Ограничения командного интерпретатора rbash

В графическом киоске по умолчанию используется более ограниченный и безопасный командный интерпретатор rbash, из-за ограничений которого возникают следующие особенности запуска приложений через firejail:

  1. В ярлыках приложений нельзя использовать полные пути к файлам приложений. Пример полного пути:

    Code Block
    Exec=firejail /usr/bin/goldendict

    Следует использовать только имя файла:

    Code Block
    Exec=firejail goldendict


При необходимости можно изменить командный интерпретатор.

Warning
Изменять командный интерпретатор не рекомендуется, так как использование других интерпретаторов может повысить риск компрометации системы.

Для замены командного интерпретатора в файле /etc/X11/Xsession.d/02-fly-kiosk-env следует найти и закомментировать строки:

Code Block
export BASH=/bin/rbash
export SHELL=${BASH}