- Astra linux сессии пользователей
- Программа «Управление сессиями» (fly-admin-session)
- Переменные окружения для пользовательских сессий
- Системные переменные окружения
- Переменные окружения PAM-стека
- Переменные окружения пользовательских служб systemd
- Переменные окружения для графической сессии Xorg
- Переменные окружения отдельных команд командной строки
- Параметры автоматической блокировки
- Принудительная блокировка локальной графической сессии
- Принудительное завершение удалённой графической сессии
- Принудительное завершение удалённой сессии доменного пользователя ALD
Astra linux сессии пользователей
Программа «Управление сессиями» (fly-admin-session)
Программа управления сессиями.
Главное окно программы (рис. 1) содержит элементы для установки параметров сессии и управляющие кнопки:
- флаг «Диалог выхода» — включает диалог для выбора действий при завершении сессии;
- флаг «Диалог подтверждения» — включает диалог подтверждения завершения сессии в случае, если остались открытые оконные приложения;
- флаг «Управление сессиями» — включает средства управления (сохранения-восстановления) сессиями при входе-выходе из системы:
- «При входе» — из выпадающего списка устанавливается тип сессии при входе;
- «При выходе» — из выпадающего списка устанавливается действие при завершении сессии;
- «Не учитывать в сессии» — в строке ввода устанавливаются (через запятую) имена тех программ, которые не должны учитываться при сохранении-восстановлении сессий;
- «Удаленная команда» — строка ввода для запуска команд на удаленном компьютере, по умолчанию — ssh. Дополняется именем пользователя и компьютера, например, ssh user@host;
- «Удаленный пользователь» — в строке ввода устанавливается имя пользователя для удаленных команд, которое используется в строке запуска команд на удаленном компьютере. Поле может оставаться пустым для ssh (имена удаленных пользователей могут определяться в конфигурационном фале ssh) и если имя локального пользователя используется как имя удаленного пользователя;
- [Да] — установленные настройки применяются, окно закрывается, и работа программы завершается;
- [Нет] — окно закрывается, и работа программы завершается;
- [Отмена] — окно закрывается.
Переменные окружения для пользовательских сессий
Присвоение пользовательских значений переменным окружения может быть выполнено в файле .profile, который расположен в домашнем каталоге пользователя. Этот файл выполняется оболочкой входа (login shell) при каждом входе в пользовательскую сессию после выполнения системного файла /etc/profile, т.е. может переопределять значения переменных окружения. заданные на системном уровне.
Наиболее частое применение этого файла — изменение значения переменной окружения PATH (список каталогов, в которых производится поиск исполняемых файлов). Например, для добавления в список каталога /opt/wine-6.17 (см. Установка wine на Astra Linux) следует добавить в файл .profile строку:
Другим примером часто используемых переменных окружения являются переменные:
- LD_PRELOAD — список библиотек, загружаемых до загрузки других библиотек, независимо от упоминания их запускаемой программе;
- LD_LIBRARY_PATH — список каталогов, в которых будет выполняться поиск динамических библиотек, упоминаемых в запускаемой программе.
Значения этих переменных могут задаваться так же, как значения переменной PATH в примере выше:
LD_PRELOAD=/usr/lib/spo/spo.so:$LD_PRELOAD LD_LIBRARY_PATH="/user/lib/spo:$LD_LIBRARY_PATH
Использование переменной окружения LD_PRELOAD является небезопасным, так как путем подмены библиотек позволяет внедрить в приложения непредусмотренные возможности.
«При запуске процесса с установленными привилегиями загрузчик динамических библиотек осуществляет сброс переменных среды окружения, позволяющих осуществлять загрузку динамических библиотек из нестандартных каталогов LD_LIBRARY_PATH и LD_PRELOAD. Таким образом, установка привилегий для пользователя может привести к невозможности запуска приложений, использующих динамическую загрузку библиотек из нестандартных каталогов.»
«Руководство по комплексу средств защиты информации», ч.1Для того, чтобы применить сделанные изменения не перезапуская пользовательскую сессию, можно выполнить файл .profile из командной строки командой:
Если в качестве оболочки входа используется оболочка bash, то:
- при входе в пользовательскую консольную сессию (interactive login shell) выполняется системный файлы /etc/profile, а затем проверяются пользовательские файлы ~/.bash_profile, ~/.bash_login, и ~/.profile. Пользовательские файлы проверяются в указанном порядке и выполняется первый из найденных и доступных для чтения;
- при интерактивном запуске в пользовательской сессии (interactive shell not login shell) выполняется пользовательский файл ~/.bashrc;
- при неинтерактивном запуске (выполнении сценария) проверяется значение переменной окружения BASH_ENV, и делается попытка исполнить указанный файл.
Кроме того, поведение bash может изменяться в зависимости от способа вызова и опций команды, подробнее см. man bash.
Проверить, какую оболочку входа использует пользователь можно командой:Значения переменных окружения должны присваиваться в используемых файлах.
Системные переменные окружения
Присвоение значений переменным окружения для оболочек входа на системном уровне выполняется в файле /etc/profile (и, если существует каталог /etc/profile.d, сценариями в файлах с расширением .sh, находящихся в этом каталоге). В отличие от пользовательских переменных системные переменные должны экспортироваться, например:
PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games" export PATH
Присвоенные значения могут быть переопределены в пользовательских файлах (см. выше).
Переменные окружения PAM-стека
При выполнении PAM-стека (аутентификация и авторизация пользователей) используется отдельное окружение, системные параметры которого задаются в файлах /etc/security/pam_env.conf и /etc/environment, а пользовательские — в файлах ~/.pam_environment.
Подробнее см. man pam_env и man pam_env.conf.Переменные окружения пользовательских служб systemd
Конфигурационные файлы при запуске пользовательских служб извлекаются из каталогов:
- ~/.config/environment.d/*.conf
- /etc/environment.d/*.conf
- /run/environment.d/*.conf
- /usr/lib/environment.d/*.conf
- /etc/environment
Подробнее cм. man environment.d.
Переменные окружения для графической сессии Xorg
Переменные окружения для графической сессии Xorg можно задавать в файле /etc/X11/fly-dm/Xsession. Синтаксис такой же, как и для других сценариев bash:
Переменные окружения отдельных команд командной строки
При работе в командной строке переменные окружения можно задавать прямо в вызовах команд перед командой в формате =. Область действия таких переменных ограничивается одной командой. Например, присвоение переменное окружения KRB5_TRACE значения /dev/stdout для вывода отладочной информации команды kinit:
При использовании sudo значение должно быть задано непосредственно перед командой, например, присвоение переменной окружения PKISPAWN_STARTUP_TIMEOUT_SECONDS значения 60 для выполнения команды astra-freeipa-server с правами администратора:
Параметры автоматической блокировки
Параметры автоматической блокировки можно изменять с помощью графического инструмента:
«Пуск» — «Настройки» — «Панель управления» — «Рабочий стол» — «Темы рабочего стола Fly» — «Блокировка».
Принудительная блокировка локальной графической сессии
Принудительная блокировка локальной графической сессии в ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5) может быть выполнена:
- С помощью горячих клавиш Win+L;
- С помощью графического инструмента, доступного через графическое меню:
Принудительное завершение удалённой графической сессии
Это не временная блокировка, а принудительное прекращение графической сессии (всех графических сессий всех пользователей).
Подключиться по ssh от имени пользователя с правами администратора (ssh u2@192.168.122.170),
Вариант 1. Уничтожить процесс управления пользовательской графической сессией fly-wm, для чего определить идентификатор этого процесса командой:
$ ps faxu | grep fly-wm
user 1543 0.0 1.9 268696 40268 ? Ss 11:11 0:02 \_ fly-wm
user 1644 0.0 0.0 11300 328 ? Ss 11:11 0:00 \_ /usr/bin/ssh-agent fly-wm
user 4088 0.0 0.0 12788 940 pts/2 S+ 13:32 0:00 | \_ grep fly-wmВ примере выше процесс принадлежит пользователю user и имеет идентификатор 1543.
Уничтожить процесс командой (вместо идентификатора 1543 указать найденный идентификатор процесса):Вариант 2. Прервать все графические сессии всех пользователей, перезапустив сервис fly-dm командой:
Принудительное завершение удалённой сессии доменного пользователя ALD
На контролере домена ALD выполнить от имени локального Администратора системы команду :