Описание

При использовании графического киоска пользователю или группе разрешается запускать только те приложения, которые явно указаны в их профиле. На пользователя действуют ограничения только если подкаталог с его профилем существует в каталоге /etc/fly-kiosk или этот пользователь входит в группу, для которой существует профиль в каталоге /etc/fly-kiosk. Профиль пользователя или группы представляет собой набор ярлыков и настроек. Поиск профиля осуществляется по имени пользователя/группы. Например, профили для пользователя user и группы group будут найдены если существуют каталоги:

/etc/fly-kiosk/user
/etc/fly-kiosk/group

Для группы дополнительно необходимо указать что это профиль группы. В конфигурационном файле /etc/fly-kiosk/group/fly-kiosk.conf должна быть строка IsGroup=true

Далее по тексту пользователь user и группа group будут использованы в качестве примера имя пользователя user и название группы group.

Отличие от системного киоска

В отличие от графического киоска, ограничивающего доступ на уровне графической среды, системный киоск ограничивает пользователя на более низком уровне, на уровне ядра системы. Ограничение происходит на уровне доступа к конкретным файлам. Системный киоск обеспечивает более надежную защиту от несанкционированного доступа чем графический. Более подробно: Системный Киоск: пакет parsec-kiosk2 (ограничения пользователя).

Настройки

На момент написания статьи у графического киоска есть следующие возможности:

1. Автозапуск приложений для всех пользователей графического киоска. Ярлыки приложений должны лежать в каталоге /etc/xdg/autostart и содержать строку OnlyShowIn=fly-kiosk


2. Автозапуск приложений для конкретного профиля пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/autostart


3. Размещение ярлыков на рабочем столе пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/desktop


4. Размещение ярлыков на панели задач пользователя. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user/toolbar


5. Режим одного приложения. В данном режиме приложение запускается при входе на весь экран. Панель задач отсутствует. При выходе из приложения текущая сессия завершается. Ярлык приложения должен лежать в каталоге /etc/fly-kiosk/user/single


6. Другие разрешенные приложения. Данные приложения нигде не будут размещены, но могут быть запущены через другие приложения. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user


7. Конфигурационный файл /etc/fly-kiosk/user/fly-kiosk.conf имеет следующие опции:
   1. EditableDesktop=false. Данная опция позволяет создавать файлы на рабочем столе. Например, сохранение документа на рабочем столе.
   2. EditableTheme=false. Данная опция позволяет редактировать пользовательские настройки оформления, темы и т.д.
   3. IsGroup=false. Данная опция указывает является ли данный профиль профилем группы.

/etc/fly-kiosk/user
├── autostart
│   └── fly-vkbd.desktop
├── desktop
│   └── firefox.desktop
├── single
├── toolbar
│   └── start.desktop # ярлык приложения "Меню Пуск"
├── exit.desktop # нужен для отображения диалога выхода
├── fly-kiosk.conf
└── fly-open.desktop # нужен для открытия документов с рабочего стола

[Desktop Entry]
Name=Toolbar
Type=Directory
Icon=kmenuedit
SortOrder=start.desktop;
X-FLY-IconContext=Applications

Графическая утилита настройки

Все вышеперечисленные настройки можно настроить с помощью графической утилиты "Политика безопасности" ("Меню Пуск" -> "Панель управления" -> "Безопасность"). В графической утилите присутствуют дополнительные возможности:

1. Сохранение настроенного профиля по указанному пути. Например, для последующего распространения через системы управления конфигурациями.
   
   
2. Настройка FireJail для выбранного приложения.