Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Astra Linux Common Edition 2.12
Добавление ярлыков на рабочий стол пользователя
Действия по добавлению ярлыков на рабочем столе пользователя рассматриваются на примере добавления ярлыка приложения Zenity. Для создания ярлыка приложения необходимо:
Перейти в каталог /usr/share/applications и создать файл с расширением .desktop:
cd /usr/share/applications
sudo vi zenity.desktopОткрыть созданный файл любым удобным редактором и заполнить следующими значениями (строка [Desktop Entry] - обязательна и должна быть первой, остальные - в любом порядке):
[Desktop Entry] Type=Application Categories=System;Utility; Exec=/usr/bin/zenity Terminal=true Icon=zenity.png StartupNotify=true Name=Zenity Name[ru]=Zenity Comment=dialog window Comment[ru]=диалоговые окна NoDisplay=false Hidden=false
где:
Type=Application
Тип объекта (Application - приложение; Directory - категория; Link - ссылка на ресурс Интернета) Categories=System;Utility;
Заголовок подменю в общем меню приложений. В значении может быть несколько частей, их следует отделять символом ";". В конце строки рекомендуется также поставить символ ";" Exec=/usr/bin/zenity
Команда для запуска приложения Terminal=true
Нужно ли сначала открыть окно терминала, а потом запустить в нём значение Exec. Может принимать значения true/false Icon=zenity.png
Файл значка. Значки хранятся в файле /usr/share/icons StartupNotify=true
Нужно ли оповещать о запуске: помигать указателем мыши или аплетом списка задач. Может принимать значения true/false Name=Zenity
Название ярлыка на английском Name[ru]=Zenity
Название ярлыка на русском Comment=dialog window
Описание, всплывающая подсказка Comment[ru]=диалоговые окна
Описание, всплывающая подсказка на русском NoDisplay=false
Не показывать в меню. Обычно "нет" (false). Может принимать значения true/false Hidden=false
Не показывать в меню. Сделать вид, что приложения не существует. Обычно "нет" (false). Может принимать значения true/false После сохранения изменений сделать файл исполняемым:
sudo chmod +x zenity.desktopСкопировать созданный ярлык в необходимый каталог (в нашем примере на рабочий стол пользователя с именем username):
cp zenity.desktop /home/username/DesktopСозданный ярлык должен появиться на рабочем столе при входе в сессию пользователя.
Добавление разделямого (общего) каталога и монтирование разделяемых файловых ресурсов
- Разделяемый каталог предварительно должен быть создан и настроен. Например, с помощью samba.
Должна быть создана точка монтирования, и пользователю должны быть предоставлены права на доступ к ней, например:
sudo mkdir /media/share1
sudo chmod 777 /media/share1Без соответствующей записи в /etc/fstab пользователь может использовать команды монтирования только с помощью sudo. Для того, чтобы пользователь мог монтировать ресурс без использования sudo в конфигурационном файле /etc/fstab должна быть объявлена строка монтирования, например следующего вида:
//fileserver1.org.net/share1 /media/share1 cifs user,rw,noauto,iocharset=utf8,soft 0 0
При этом опция user предоставляет возможность монтирования указанного ресурса простому пользователю, и пользователь при этом выполняет монтирование командой mount с указанием точки монтирования:
mount /media/share1Полный список опций приведен в руководстве man для команд mount и mount.cifs. Описание формата конфигурационного файла /etc/fstab приведено в руководстве man для fstab.Для того чтобы пользователю были доступны каталоги при входе с ненулевой классификационной меткой нужно в файле /etc/fstab на компьютере клиента указать следующие параметры в одну строку:
//fileserver1.org.net/share1 /media/share1 cifs user,rw,noauto,iocharset=utf8,nosharesock,vers=1.0,soft 0 0
Для монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:
sudo apt install cifs-utils- Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:
- sudo mount.cifs //сервер/ресурс /точка_монтирования [-o опции]
- sudo mount.cifs //192.168.1.1/share1 /mnt -o user=admin
либо
mount -t cifs //сервер/ресурс /точка_монтирования [-o опции]
В качестве опций команде могут передаваться параметры монтирования, такие как:
имя пользователя;
используемый тип аутентификации;
кодировка;
использование прав доступа
Добавление принтера
Инструкции по добавлению принтера см. Система печати CUPS в Astra Linux.
Удаление временных файлов
Удаление временных файлов пользователя
Удаление временных файлов пользователя можно выполнить командой:
Удаление временных файлов компьютера
Команды:
sudo rm -R /tmp/
Открытие IP-портов
Посмотреть все открытые порты, ip адреса и имена процессов, которым принадлежат соединения, можно командой:
Открыть доступ к порту можно командой iptables. Открыть доступ к порту 1900 по протоколу TCP:
sudo iptables-save
man iptables
Кроме этого правило можно создать с помощью графической утилиты ufw, для чего:
Запустить утилиту Gufw Firewall, выполнив в терминале команду:
gufw- Воспользоваться кнопкой «Правила» и добавить правила для нужного порта и сетевого интерфейса, нажать кнопку «добавить».
Установка домашней страницы браузера firefox
Способ 1
Домашняя страница браузера firefox может быть задана путем редактирования значения
pref("browser.startup.homepage", "www.example.al")
в файле /usr/lib/firefox/browser/defaults/preferences/firefox.js. Однако, заданное таким способом значение заменяется настройками пользователя, что вызывает необходимость удалить всй по пути /home/пользователь/.mozilla/firefox/ (сессия пользователя также будет удалена):
Способ 2
Добавить аргумент с нужным адресом в ярлык запуска firefox:
/usr/lib/firefox/firefox www.example.al
Запрет чтения/записи на Flash-накопитель
Способ 1 Путем изменения прав на точку монтирования.
Если правила автомонтирования монтируют все сменные устройства в каталог, например, /media, то при запрете доступа к этому каталогу будет запрещен доступ ко всему его содержимому.
Этот способ удобен, если нужно на одной и той же машине кому-то разрешить, а кому-то запретить доступ к внешним устройствам хранения. В примере единственный пользователь, который может писать и читать данные с Flash-накопителя это root (если root является владельцем и группой каталога /media).
Если сменить группу каталогу /media например на "storage" и сменить права доступа к этому каталогу, то только пользователи из группы "storage" смогут получить доступ к сменным носителям:
sudo chmod 0750 /media
Чтобы у пользователя для монтирования запрашивался пароль администратора:
Создать файл /etc/polkit-1/localauthority/10-vendor.d/ru.rusbitech.noudisksmount.pkla:
Установка программ
Скачанные пакет(ы) с расширением .deb
Перейти в каталог с загруженными файлами:
Если необходимо выполнить установку всех deb пакетов находящихся в каталоге, то выполнить установку командой:
Автоматический запуск приложений при входе пользователя:
Для всех пользователей
Поместить ярлык с содержимым в каталог /etc/xdg/autostart/
Для отдельных пользователей
Поместить ярлык с содержимым в каталог ~/.config/autostart/
Запрет пользователям доступа к определённым сайтам
С помощью iptables
Пример блокировки сайта vk.com при использовании Network-Manager.
Добавить блокировку сайта vk.com в таблицу itables:
sudo iptables -A OUTPUT -d vk.com -j REJECTАналогично можно добавить любой сайт, заменив vk.com на его имя, например, rambler.ru.Сохранить правила в файл (например, файл с именем /etc/stoplist.rules):
sudo iptables-save > /etc/stoplist.rulesДобавить правила в автозагрузку, для чего создать исполняемый файл /etc/NetworkManager/dispatcher.d/pre-up.d/stoplist с командой загрузки ранее сохранённых файлов:
cat << EOT | sudo tee /etc/NetworkManager/dispatcher.d/pre-up.d/stoplst
#!/bin/bash
/sbin/iptables-restore < /etc/stoplist.rules
EOT
chmod +x /etc/NetworkManager/dispatcher.d/pre-up.d/stoplistПерезагрузить систему и проверить наличия правил командой:
sudo iptables -LВ выводе команды должен присутствовать запрет на обращение к пулу серверов vk.com
Аналогичным образом добавляется любой сайт, при этом нет необходимости создавать дополнительный stoplist.rules: все старые и новые добавленные правила можно сохранять повторно в /etc/stoplist.rules.
С помощью ufw
Для добавления правил в ufw:
Определить IP-адреса блокируемого сайта, например командой host:
vk.com has address 87.240.190.78
vk.com has address 93.186.225.208
vk.com has address 87.240.139.194
vk.com has address 87.240.137.158
vk.com has address 87.240.190.67
vk.com has address 87.240.190.72
vk.com mail is handled by 20 mx2.vk.com.
vk.com mail is handled by 0 mx.vk.com.
Запустить графический интерфейс настройки ufw:
"Панель управления" — "Прочее" — "Настройки Межсетевого экрана".- Активировать работу ufw (нажать на пиктограмму включения напротив слова Статус.
- Создать расширенное правило c запретом передачи данных в оба направления для сетевого интерфейса eth-N, для чего:
- Нажать «Правила», затем «+» и выбрать вкладку «Расширенные»:
- В открывшейся форме выбрать:
- В пункте «Политика»: «Запретить»;
- В пункте «Направление»: «Оба»;
- В пункте «Интерфейс»: «eth0» указать сетевой интерфейс, через который пользователь получает доступ к сети интернет;
- В поле из: «ip адрес» указать IP-адрес сетевого интерфейса, который указывали в поле «Интерфейс» пункт 3.
- В пункте «В»: указать первый IP-адрес из списка адресов vk.com.
- Когда первый ip адрес добавлен, нажмите кнопку «Добавить» один раз и правило будет добавлено (при этом окно не закрывается и закрывать его не надо).
- Нажать «Правила», затем «+» и выбрать вкладку «Расширенные»:
- Теперь необходимо добавить другие IP-адреса из пула vk.com. Для этого редактируются поля: «Имя» и «В»:
- В поле «Имя» - указать, например, "vk.com – IP-адрес".
- В поле «В» - указать следующий (второй) IP-адрес пула сайта vk.com;
- Нажать кнопку «Добавить».
- Аналогичным образом добавьте все IP-адреса:
Дополнительный пример с одним IP-адресом rambler.ru:
1 Comment
Илья Александров
Александр Левдонский
Добрый день!
Ниже список опечаток, который удалось обнаружить.
комментарий
раздел
опечатка
Можно добавить sudo ( sudo chmod +x zenity.desktop)
Добавление ярлыков на рабочий стол пользователя
3. После сохранения изменений сделать файл исполняемым:
chmod +x zenity.desktop
Опечатка "Были Были". Не хватает "о" в команде sudo
Добавление разделямого (общего) каталога и монтирование разделяемых файловых ресурсов
4. Для того чтобы были пользователю были доступны каталоги при входе с ненулевой классификационной меткой нужно в файле /etc/fstab на компьютере клиента указать следующие параметры в одну строку:
5. Для монтирования разделяемых файловых ресурсов на компьютере-клиенте должен быть установлен пакет cifs-utils:
sud apt install cifs-utils
Можно добавить sudo перед командами mount в примерах 6го пункта.
6. Монтирование разделяемого файлового ресурса выполняется командой mount с указанием соответствующего типа сетевой ФС, например:
Опечатка, не хватает "и" в слове инструкции.
Добавление принтера
Инструкци по добавлению принтера см. Система печати CUPS
Опечатки (Следует, кроме).
Открытие IP-портов
Далее следёет выпонить проверку и сохранить изменения:
Крое этого правило можно создать с помощью графической утилиты ufw, для чего:
Опечатки (vk.com, дополнительно)
Запрет доступа пользователям к определённым сайтам
С помощью ufw
4.Теперь необходимо добавить другие ip адреса из пула vk.com. Для этого редактируются поля: «Имя» и «В»:
а. В поле «Имя» - указать, например, "vk vom – IP-адрес".
5. Дополнительня пример с одним IP-адресом rambler.ru: