Системный киоск

Имя пакета программы: fly-admin-kiosk
Версия пакета программы: 1.6.0+ci36 и выше
Условия запуска программы: вход в сессию с правами администратора на высоком уровне целостности

О программе

Ограничение среды пользователя.

Запуск программы

  • через графический интерфейс: Пуск — Панель управления — Безопасность — Системный киоск;
  • через терминал — выполнить команду:

fly-admin-kiosk

Окно программы

Главное окно программы представлено на рисунке.

Интерфейс программы состоит из:

  • 1 — строки меню;
  • 2 — панели инструментов;
  • 3 — секции Пользователи;
  • 4 — секции Профили.

Управление пользователями

Добавление пользователя

Чтобы настроить ограничение среды для пользователя, следует:

  • вызвать диалоговое окно Добавить пользователя одним из следующих способов:
    • в секции Пользователи нажать кнопку [Добавить пользователя];

    • в строке меню выбрать Пользователи — Добавить пользователя;
  • в окне Добавить пользователя выбрать нужного пользователя из выпадающего списка;

  • если необходимо копировать правила другого пользователя, следует установить соответствующий флаг и выбрать нужного пользователя из выпадающего списка;
  • нажать кнопку [Да];
  • назначить пользователю один или более системных профилей (см. Выбор системных профилей для пользователя).

Если новый пользователь был добавлен без назначенных ему правил, на панели с кнопками будет отображен значок предупреждения, а также предупреждение в скобках после имени пользователя.

Для просмотра предупреждения следует выбрать пользователя, затем нажать на значок предупреждения или в строке меню выбрать Пользователи — Показать статус.

Для закрытия окна Предупреждение следует нажать [Да].

Выбор системных профилей для пользователя

Системные профили являются наборами правил доступа к файлам, которые ограничивают среду для пользователя. Чтобы настроить ограничение среды для пользователя, следует:

  • в секции Пользователи выбрать нужного пользователя в списке;
  • в секции Профили отметить флагами системные профили, которые следует применить к выбранному пользователю.

По умолчанию доступны следующие системные профили:

  • bash-ssh — управляет доступом к сессии при подключении через SSH;
  • everything — позволяет работать со всеми программами и файлами системы в соответствии с установленными правами доступа;
  • fly-desktop — позволяет выполнять графический вход в систему;
  • fly-desktop-mac — позволяет выполнять графический вход в систему на ненулевом уровне конфиденциальности;
  • fly-fm — позволяет работать в менеджере файлов fly-fm;
  • fly-term+run — позволяет работать в терминале;
  • fly-unlock — позволяет выполнять разблокировку экрана;
  • gimp — позволяет работать в графическом редакторе GIMP;
  • gwenview — позволяет работать в программе просмотра изображений Gwenview;
  • kmines — позволяет запускать программу KMines;
  • l10n — необходим для установки региональных настроек;
  • libreoffice — позволяет работать в программах LibreOffice;
  • owner_home — предоставляет доступ к домашним каталогам пользователей в соответствии с установленными правами доступа;
  • systemd-user — позволяет запускать и управлять пользовательскими службами.

При необходимости можно создавать новые системные профили (см. Управление системными профилями).

Удаление пользователя

Удалить пользователя можно одним из следующих способов:

  • в секции Пользователи нажать кнопку [Удалить пользователя];

  • в строке меню выбрать Пользователи — Удалить пользователя.

В открывшемся диалоговом окне следует нажать [Да] для подтверждения.

Управление системными профилями

Автоматическое создание системного профиля

Автоматическое создание системного профиля позволяет быстро создать системный профиль с правилами, необходимыми для работы в определенной программе.

Для автоматического создания нового системного профиля следует:

  • вызвать окно создания системного профиля одним из следующих способов:
    • в секции Профили нажать кнопку [Добавить профиль];

    • в строке меню выбрать Профили — Добавить профиль.

Будет открыто окно Создать новый профиль, а поверх него — окно Запись правил для приложения.

В поле Путь к программе следует указать нужную программу одним из следующих способов:

  • ввести путь вручную;
  • нажать кнопку [...] и выбрать исполняемый файл нужной программы в открывшемся окне;
  • нажать кнопку [Из меню] и в открывшемся окне выбрать нужную программу из меню Пуск.

В секции Запись правил следует установить переключатель в положение:

  • пропускать запись имеющихся правил у пользователя — если нужно игнорировать правила, идентичные уже настроенным для данного профиля пользователя;
  • записывать все правила — если нужно записывать в том числе правила, идентичные уже настроенным для данного профиля пользователя.

Для запуска программы в терминале следует установить флаг Запустить в терминале. С помощью переключателя Терминал по умолчанию/Свой терминал следует выбрать терминал, в котором будет запущена программа (для выбранного терминала будет установлено разрешение на работу в рамках данного профиля правил):

  • Терминал по умолчанию — выбрать нужный терминал из выпадающего списка;
  • Свой терминал — ввести путь к файлу терминала либо нажать [...] и в открывшемся окне выбрать файл терминала.

Для сохранения настроек следует нажать [Да].

Указанная программа будет автоматически запущена, после чего следует выполнить в ней все необходимые действия пользователя и завершить работу программы. Все обращения программы к файлам будут проанализированы, и на основе анализа будут сформированы правила. Правила будут отображены во вкладке Разрешенные объекты окна Создать новый профиль, а имя профиля будет автоматически задано в соответствии с выбранной программой.

|

Для повторного вызова окна Запись правил для приложения следует нажать кнопку [Добавить файлы из процесса].


При необходимости можно отредактировать сформированный системный профиль (см. Редактирование системного профиля).

Для сохранения системного профиля и возврата в главное окно программы следует нажать [Да].

Ручное создание системного профиля

Для ручного создания нового системного профиля следует вызвать окно создания системного профиля одним из двух способов:

  • в секции Профили нажать кнопку [Добавить профиль];

  • в строке меню выбрать Профили — Добавить профиль;

Будет открыто окно Создать новый профиль, а поверх него — окно Запись правил для приложения.

Следует закрыть окно Запись правил для приложения для возврата в окно Создать новый профиль.

Чтобы вручную добавить один или более файлов в таблицу, следует нажать кнопку [Добавить файл].

В открывшемся окне следует выбрать нужные файлы и нажать [Открыть].

Выбранные файлы будут добавлены в таблицу.

Чтобы добавить все файлы из одной или нескольких папок, следует нажать кнопку [Добавить файлы директории].

В открывшемся окне следует выбрать нужные папки и нажать кнопку [Открыть].

Все файлы из выбранных папок будут добавлены в таблицу.

Изменить права доступа к файлам можно установкой или снятием соответствующих флагов:

  • R — чтение;
  • W — запись;
  • C — создание;
  • U — указанными правами обладает владелец объекта;
  • O — указанными правами обладают пользователи, не являющиеся владельцами объекта.

При необходимости можно удалить правила, автоматически добавить правила для работы с программой или использовать правила других системных профилей (см. Редактирование системного профиля).

Для сохранения профиля и возврата в главное окно программы следует нажать [Да].

Редактирование системного профиля

Автоматическое добавление правил в системный профиль

Автоматическое добавление правил позволяет быстро добавить в системный профиль правила для работы в определенной программе.

Для автоматического добавления правил следует:

  • в секции Профили выбрать нужный системный профиль;
  • вызвать окно редактирования системного профиля одним из следующих способов:
    • в секции Профили нажать кнопку [Редактировать профиль];

    • в строке меню выбрать Профили — Редактировать профиль.

Будет открыто окно Редактировать профиль.

Для добавления в таблицу всех правил, необходимых для работы в программе, следует нажать [Добавить файлы из процесса].

Будет открыто окно Запись правил для приложения.

Чтобы удалить старые правила профиля после записи новых правил (например, при обновлении правил для новой версии программы), следует:

  • в секции Запись правил установить переключатель в положение записывать все правила;
  • установить флаг Перезаписать профиль.

Остальные настройки производятся так же, как и при автоматическом создании системного профиля (см. Автоматическое создание системного профиля).

Ручное добавление правил в системный профиль

Для ручного редактирования системного профиля следует:

  • в секции Профили выбрать нужный системный профиль;
  • вызвать окно редактирования системного профиля одним из следующих способов:
    • в секции Профили нажать кнопку [Редактировать профиль];

    • в строке меню выбрать Профили — Редактировать профиль.

Будет открыто окно Редактировать профиль.

Ручное добавление правил производится так же, как при ручном создании системного профиля (см. Ручное создание системного профиля).

Удаление правил из системного профиля

Для удаления правила из системного профиля следует:

  • в секции Профили выбрать нужный системный профиль;
  • вызвать окно редактирования системного профиля одним из следующих способов:
    • в секции Профили нажать кнопку [Редактировать профиль];

    • в строке меню выбрать Профили — Редактировать профиль.

Будет открыто окно Редактировать профиль.

Следует выбрать правило в таблице, затем удалить правило одним из следующих способов:

  • нажать кнопку [Удалить файл];

  • вызвать контекстное меню правила и выбрать Удалить файл.

Для удаления нескольких правил следует предварительно выбрать все подлежащие удалению правила.

Для сохранения следует нажать [Да].

Использование правил других системных профилей

Для использования в системном профиле правил другого системного профиля следует:

  • в секции Профили выбрать нужный системный профиль;
  • вызвать окно редактирования системного профиля одним из следующих способов:
    • в секции Профили нажать кнопку [Редактировать профиль];

    • в строке меню выбрать Профили — Редактировать профиль.

Будет открыто окно Редактировать профиль. Следует перейти во вкладку Используемые профили.

Вкладка Используемые профили содержит список системных профилей, правила которых можно использовать в данном профиле.

Следует выбрать нужные профили установкой флагов в соответствующих полях и нажать [Да] для сохранения.

Удаление системного профиля

Для удаления системного профиля следует:

  • в секции Профили выбрать нужный системный профиль;
  • удалить системный профиль одним из следующих способов:
    • в секции Профили нажать кнопку [Удалить профиль];

    • в строке меню выбрать Профили — Удалить профиль;
  • в открывшемся окне Удалить профиль нажать [Да] для подтверждения.

Отмена и сохранение изменений

Чтобы отменить последнее изменение (создание или удаление пользователей, системных профилей и другие), следует на панели иструментов нажать кнопку [Отменить изменения] либо в строке меню выбрать Файл — Отменить изменения.

Чтобы сохранить все изменения, следует на панели инструментов нажать кнопку [Сохранить изменения] либо в строке меню выбрать Файл — Сохранить изменения.

Режим киоска

Выбор пользователей для работы в режиме киоска

Перед включением режима киоска следует выбрать пользователей, на которых будут действовать ограничения киоска. Для корректной работы режима киоска следует выбирать пользователей, прошедших первичную инициализацию (выполняется автоматически при первом входе пользователя в систему), либо выполнить первый вход пользователей с включенным профилем everything (см. Выбор системных профилей для пользователя).

Чтобы на пользователя действовали правила киоска, следует:

  • выбрать нужного пользователя из списка в секции Пользователи;
  • включить использование правил киоска для выбранного пользователя одним из следующих способов:
    • нажать кнопку [Включить правила киоска для пользователя];

    • в строке меню выбрать Пользователи — Включить правила киоска для пользователя;
    • нажатием правой кнопки мыши вызвать контекстное меню пользователя и выбрать Включить правила киоска для пользователя.

Чтобы на пользователя не действовали правила киоска, следует:

  • выбрать нужного пользователя в списке;
  • выключить использование правил киоска для выбранного пользователя одним из следующих способов:
    • нажать кнопку [Выключить правила киоска для пользователя];

    • в строке меню выбрать Пользователи — Выключить правила киоска для пользователя;
    • нажатием правой кнопки мыши вызвать контекстное меню пользователя и выбрать Выключить правила киоска для пользователя.

Включение режима киоска

После того как включено использование правил киоска для нужных пользователей (см. Выбор пользователей для работы в режиме киоска), следует включить режим киоска одним из следующих способов:

  • на панели инструментов нажать кнопку [Включить режим киоска];

  • в строке меню выбрать Файл — Включить режим киоска;

В диалоговом окне подтверждения следует нажать [Да].

Выключение режима киоска

Выключить режим киоска можно одним из следующих способов:

  • на панели инструментов нажать кнопку [Выключить режим киоска];

  • в строке меню выбрать Файл — Выключить режим киоска.

В диалоговом окне подтверждения следует нажать [Да].

Режим глобальной записи правил киоска

В режиме глобальной записи записываются и анализируются действия пользователей за период работы режима глобальной записи, после чего автоматически формируются системные профили для каждого пользователя.

Записываются действия пользователей, которые добавлены в программу (см. Добавление пользователя) и для которых включено использование правил киоска (см. Выбор пользователей для работы в режиме киоска).

Для включения режима глобальной записи следует на панели инструментов нажать кнопку [Режим глобальной записи] либо в строке меню выбрать Файл — Режим глобальной записи.

Будет отображено диалоговое окно с предупреждением.

Необходимо выбрать дальнейшие действия:

  • чтобы включить режим глобальной записи, следует нажать [Включить]. Будет отображено диалоговое окно.

Чтобы закрыть программу, не прерывая режим глобальной записи, следует нажать [Закрыть утилиту];

  • чтобы включить режим глобальной записи и закрыть программу, следует нажать [Включить и закрыть утилиту];
  • чтобы не включать режим глобальной записи, следует нажать [Отмена].

После этого для каждого пользователя следует:

  • выполнить вход в пользовательскую сессию;
  • выполнить в системе все действия, необходимые для работы данного пользователя;
  • завершить пользовательскую сессию.

Для завершения записи правил следует:

  • повторно запустить программу, если она была выключена;
  • в открывшемся диалоговом окне нажать:
    • [Завершить и создать профили] — выключить режим глобальной записи правил и создать системные профили для пользователей;
    • [Завершить и игнорировать собранные данные] — выключить режим глобальной записи правил без сохранения правил (например, если необходимо повторно записать действия пользователей).