• Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-10 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    с установленным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 - Update 5

  • Astra Linux Common Edition 2.12


Описание

При использовании графического киоска пользователю или группе пользователей разрешается запускать только приложения, явно указанные в их профиле. На пользователя действуют ограничения только если подкаталог с его профилем существует в каталоге /etc/fly-kiosk или этот пользователь входит в группу, для которой существует профиль в каталоге /etc/fly-kiosk (этот каталог по умолчанию не существует, и создается при включении режима графического киоска). Профиль пользователя или группы представляет собой набор ярлыков и настроек. Поиск профиля осуществляется по имени пользователя/группы. Например, профили для пользователя с именем user и группы с именем group будут найдены если существуют каталоги:

/etc/fly-kiosk/user
/etc/fly-kiosk/group

Для группы дополнительно необходимо указать что это профиль группы. В конфигурационном файле /etc/fly-kiosk/group/fly-kiosk.conf должна быть строка IsGroup=true

При одновременном включении графического киоска и у пользователя и у группы будет применен только профиль пользователя.

Далее по тексту будут использованы в качестве примера имя пользователя user и название группы group.

Графический киоск поддерживает работу с доменными пользователями и группами при работе в доменах FreeIPA и ALD. Профили киоска при этом должны быть размещены на компьютере, на котором происходит вход пользователя.


Отличие от системного киоска

Графический киоск ограничивает доступ на уровне графической среды. Системный киоск, в отличие от графического киоска, ограничивает пользователя на более низком уровне — на уровне ядра системы, управляя доступом к конкретным файлам. Системный киоск обеспечивает более надежную защиту от несанкционированного доступа, чем графический. Более подробно: Системный Киоск-2: пакет parsec-kiosk2 (ограничения пользователя)

Настройки

На момент написания статьи у графического киоска есть следующие возможности:

  1. Автозапуск приложений для всех пользователей графического киоска. Ярлыки приложений должны размещаться в каталоге /etc/xdg/autostart и содержать строку OnlyShowIn=fly-kiosk;
  2. Автозапуск приложений для конкретного профиля пользователя. Ярлыки приложений должны размещаться в каталоге /etc/fly-kiosk/user/autostart;
  3. Размещение ярлыков на рабочем столе пользователя. Ярлыки приложений должны размещаться в каталоге /etc/fly-kiosk/user/desktop;
  4. Размещение ярлыков на панели задач пользователя. Ярлыки приложений должны  размещаться в каталоге /etc/fly-kiosk/user/toolbar;
  5. Режим одного приложения. В данном режиме приложение запускается при входе на весь экран. Панель задач отсутствует, верхняя панель приложения отсутствует (т.е. закрыть "крестом" или свернуть приложение невозможно, необходимо завершать приложение его собственными средствами). При выходе из приложения текущая сессия завершается. Ярлык приложения должен лежать в каталоге /etc/fly-kiosk/user/single;
  6. Другие разрешенные приложения. Данные приложения нигде не будут размещены, но могут быть запущены через другие приложения. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user
  7. Конфигурационный файл /etc/fly-kiosk/user/fly-kiosk.conf имеет следующие опции:
    1. EditableDesktop=false. Данная опция позволяет создавать файлы на рабочем столе. Например, сохранение документа на рабочем столе;
    2. EditableTheme=false. Данная опция позволяет редактировать пользовательские настройки оформления, темы и т.д.;
    3. IsGroup=false. Данная опция указывает является ли данный профиль профилем группы.


/etc/fly-kiosk/user
├── autostart
│   └── fly-vkbd.desktop
├── desktop
│   └── firefox.desktop
├── single
├── toolbar
│   └── start.desktop # ярлык приложения "Меню Пуск"
├── exit.desktop # нужен для отображения диалога выхода
├── fly-kiosk.conf
└── fly-open.desktop # нужен для открытия документов с рабочего стола



Для отображения ярлыка приложения "Меню Пуск" на панели всегда слева от других ярлыков, создайте файл /etc/fly-kiosk/user/toolbar/.directory со следующим содержимым:

[Desktop Entry]
Name=Toolbar
Type=Directory
Icon=kmenuedit
SortOrder=start.desktop;
X-FLY-IconContext=Applications



Графическая утилита настройки

Все вышеперечисленные настройки для пользователей и групп можно выполнить с помощью графической утилиты "Политика безопасности" ("Меню Пуск" -> "Панель управления" -> "Безопасность" -> "Пользователи" или "Меню Пуск" -> "Панель управления" -> "Безопасность" -> "Группы"). В графической утилите присутствуют дополнительные возможности:

  1. Сохранение настроенного профиля по указанному пути. Например, для последующего распространения через системы управления конфигурациями.

  2. Настройка FireJail (см. Система изоляции пользовательских приложений FireJail) для выбранного приложения.

Ограничения командного интерпретатора rbash

В графическом киоске по умолчанию используется более ограниченный и безопасный командный интерпретатор rbash, из-за ограничений которого возникают следующие особенности запуска приложений через firejail:

  1. В ярлыках приложений нельзя использовать полные пути к файлам приложений. Пример полного пути:

    Exec=firejail /usr/bin/goldendict

    Следует использовать только имя файла:

    Exec=firejail goldendict


При необходимости можно изменить командный интерпретатор.

Изменять командный интерпретатор не рекомендуется, так как использование других интерпретаторов может повысить риск компрометации системы.

Для замены командного интерпретатора в файле /etc/X11/Xsession.d/02-fly-kiosk-env следует найти и закомментировать строки:

export BASH=/bin/rbash
export SHELL=${BASH}