Режим киоск astra linux
Режим киоск служит для огрaничения прав пользовaтелей в системе. Степень этих ограничений задается маской киоска. Ее действие aналогично действию маски umask с тем отличием, что если umask накладывается при создании новых объектов ФС, то маска киоска накладывается на права доступа к фaйлу при любой попытке пользовaтеля получить доступ.
Маскa киоска задaется в конфигурационном фaйле и по умолчанию режим киоскa выключен. Если устaновить маску равной типичному значению при включенном режиме киоска, для пользователя блокируется доступ по записи и исполнению ко всем файлaм, не принадлежaщим ему, либо группе, в которую он входит.
При выключенном режиме киоскa, поведение системы остаётся стaндартным, и на правa доступа пользователя не накладывается никаких ограничений. Маска киоска применяется только к обычным файлам. К директориям, сокетaм и т.д. маска не применяется.
В режиме киоскa (маскa по умолчанию) пользователь не имеет возможности зaпустить ни одну системную программу, т.к. эти действия замaскированы. Особенность режимa киоска в Операци0нной системе специального назначения Astra Linux Special Edition заключaется в том, что данный режим работает на уровне ядра, а не на уровне пользовательских приложений. Пример применения Режимa киоска:
— Платежный терминал;
— Узкоспециализировaнное рабочее место пользовaтеля (бухгалтер предприятия и т.д.).
Профили режима киоск kios-profiles.tgz Для доступа к ссылке необходимо авторизоваться
Использование fly-kiosk в режиме ЕПП возможно только в случaе локального(без nfs и cifs) рaсположения домашнего каталога на клиентской машине.
1. Создать доменного пользователя, в качестве ФС выбрать local
2. Зайти вновь созданным пользователем на клиентской мaшине для создания структуры домaшней директории. При необходимости, зайти под нужными мандатными уровнями, для создания структуры домашней директории для кaждого уровня.
3. На клиентской мaшине в файл /etc/ald/ald.conf добавить группу lock в строку ALLOWED_LOCAL_GROUPS:
Применить конфигурацию командой: ald-client commit-config
4.На клиентской машине, от имени суперпользователя выполнить: fly-kiosk -u —action lock —home -p
Режим киоска
Режим киоск служит для ограничения прав пользователей в системе. Степень этих ограничений задается маской киоска. Ее действие аналогично действию маски umask с тем отличием, что если umask накладывается при создании новых объектов ФС, то маска киоска накладывается на права доступа к файлу при любой попытке пользователя получить доступ. Маска киоска задается в конфигурационном файле и по умолчанию режим киоска выключен. Если установить маску равной типичному значению при включенном режиме киоска, для пользователя блокируется доступ по записи и исполнению ко всем файлам, не принадлежащим ему, либо группе, в которую он входит. При выключенном режиме киоска, поведение системы остаётся стандартным, и на права доступа пользователя не накладывается никаких ограничений. Маска киоска применяется только к обычным файлам. К директориям, сокетам и т.д. маска не применяется.
В режиме киоска (маска по умолчанию) пользователь не имеет возможности запустить ни одну системную программу, т.к. эти действия замаскированы. Особенность режима киоска в Операционной системе специального назначения Astra Linux Special Edition заключается в том, что данный режим работает на уровне ядра, а не на уровне пользовательских приложений. Пример применения Режима киоска:
— Платежный терминал;
— Узкоспециализированное рабочее место пользователя (бухгалтер предприятия и т.д.).
Использование fly-kiosk в режиме ЕПП возможно только в случае локального(без nfs и cifs ) расположения домашнего каталога на клиентской машине.
1. Создать доменного пользователя, в качестве ФС выбрать local
2. Зайти вновь созданным пользователем на клиентской машине для создания структуры домашней директории.При необходимости, зайти под нужными мандатными уровнями, для создания структуры домашней директории для каждого уровня.
3. На клиентской машине в файл /etc/ald/ald.conf добавить группу lock в строку ALLOWED_LOCAL_GROUPS :
Применить конфигурацию командой: ald-client commit-config
4.На клиентской машине, от имени суперпользователя выполнить: fly-kiosk -u —action lock —home -p
Описание
При использовании графического киоска пользователю или группе пользователей разрешается запускать только приложения, явно указанные в их профиле. На пользователя действуют ограничения только если подкаталог с его профилем существует в каталоге /etc/fly-kiosk или этот пользователь входит в группу, для которой существует профиль в каталоге /etc/fly-kiosk (этот каталог по умолчанию не существует, и создается при включении режима графического киоска). Профиль пользователя или группы представляет собой набор ярлыков и настроек. Поиск профиля осуществляется по имени пользователя/группы. Например, профили для пользователя с именем user и группы с именем group будут найдены если существуют каталоги:
/etc/fly-kiosk/user
/etc/fly-kiosk/group
Для группы дополнительно необходимо указать что это профиль группы. В конфигурационном файле /etc/fly-kiosk/group/fly-kiosk.conf должна быть строка IsGroup=true
П ри одновременном включении графического киоска и у пользователя и у группы будет применен только профиль пользователя.
Далее по тексту будут использованы в качестве примера имя пользователя user и название группы group .
Графический киоск поддерживает работу с доменными пользователями и группами при работе в доменах FreeIPA и ALD. Профили киоска при этом должны быть размещены на компьютере, на котором происходит вход пользователя.
Отличие от системного киоска
Графический киоск ограничивает доступ на уровне графической среды. Системный киоск, в отличие от графического киоска, ограничивает пользователя на более низком уровне — на уровне ядра системы, управляя доступом к конкретным файлам. Системный киоск обеспечивает более надежную защиту от несанкционированного доступа, чем графический. Более подробно: Системный Киоск-2: пакет parsec-kiosk2 (ограничения пользователя)
Настройки
На момент написания статьи у графического киоска есть следующие возможности:
- Автозапуск приложений для всех пользователей графического киоска. Ярлыки приложений должны размещаться в каталоге /etc/xdg/autostart и содержать строку OnlyShowIn=fly-kiosk;
- Автозапуск приложений для конкретного профиля пользователя. Ярлыки приложений должны размещаться в каталоге /etc/fly-kiosk/user/autostart;
- Размещение ярлыков на рабочем столе пользователя. Ярлыки приложений должны размещаться в каталоге /etc/fly-kiosk/user/desktop;
- Размещение ярлыков на панели задач пользователя. Ярлыки приложений должны размещаться в каталоге /etc/fly-kiosk/user/toolbar;
- Режим одного приложения. В данном режиме приложение запускается при входе на весь экран. Панель задач отсутствует, верхняя панель приложения отсутствует (т.е. закрыть «крестом» или свернуть приложение невозможно, необходимо завершать приложение его собственными средствами). При выходе из приложения текущая сессия завершается. Ярлык приложения должен лежать в каталоге /etc/fly-kiosk/user/single;
- Другие разрешенные приложения. Данные приложения нигде не будут размещены, но могут быть запущены через другие приложения. Ярлыки приложений должны лежать в каталоге /etc/fly-kiosk/user
- Конфигурационный файл /etc/fly-kiosk/user/fly-kiosk.conf имеет следующие опции:
- EditableDesktop=false. Данная опция позволяет создавать файлы на рабочем столе. Например, сохранение документа на рабочем столе;
- EditableTheme=false. Данная опция позволяет редактировать пользовательские настройки оформления, темы и т.д.;
- IsGroup=false. Данная опция указывает является ли данный профиль профилем группы.
/etc/fly-kiosk/user ├── autostart │ └── fly-vkbd.desktop ├── desktop │ └── firefox.desktop ├── single ├── toolbar │ └── start.desktop # ярлык приложения "Меню Пуск" ├── exit.desktop # нужен для отображения диалога выхода ├── fly-kiosk.conf └── fly-open.desktop # нужен для открытия документов с рабочего стола
Для отображения ярлыка приложения «Меню Пуск» на панели всегда слева от других ярлыков, создайте файл /etc/fly-kiosk/user/toolbar/.directory со следующим содержимым:
[Desktop Entry] Name=Toolbar Type=Directory Icon=kmenuedit SortOrder=start.desktop; X-FLY-IconContext=Applications
Графическая утилита настройки
Все вышеперечисленные настройки для пользователей и групп можно выполнить с помощью графической утилиты «Политика безопасности» («Меню Пуск» -> «Панель управления» -> «Безопасность» -> «Пользователи» или «Меню Пуск» -> «Панель управления» -> «Безопасность» -> «Группы»). В графической утилите присутствуют дополнительные возможности:
- Сохранение настроенного профиля по указанному пути. Например, для последующего распространения через системы управления конфигурациями.
Ограничения командного интерпретатора rbash
В графическом киоске по умолчанию используется более ограниченный и безопасный командный интерпретатор rbash, из-за ограничений которого возникают следующие особенности запуска приложений через firejail:
- В ярлыках приложений нельзя использовать полные пути к файлам приложений. Пример полного пути:
Exec=firejail /usr/bin/goldendict
При необходимости можно изменить командный интерпретатор.
Изменять командный интерпретатор не рекомендуется, так как использование других интерпретаторов может повысить риск компрометации системы.
Для замены командного интерпретатора в файле /etc/X11/Xsession.d/02-fly-kiosk-env следует найти и закомментировать строки:
export BASH=/bin/rbash export SHELL=$
Режим киоска Fly
Данная статья устарела. Актуальную версию статьи см. Графический киоск.
Данная статья применима к:
Режим киоска Fly позволяет ограничить действия пользователя в рамках рабочего стола («песочницы»), куда администратор может помещать ярлыки программ доступных для запуска пользователем.
Также киоск Fly позволяет запускать единственное приложение (например Firefox) без рабочего стола, позволяя организовать, например платежный или информационный терминал.
Для управления работой киоска Fly администратор может воспользоваться графической утилитой администрирования fly-admin-smc.
Настройка режима киоска с помощью программы fly-admin-smc возможна только для локальных пользователей имеющих нулевые классификационные метки. Киоск Fly применим только для пользователей с локальным размещением домашний директорий.
Настройки доступны в разделе «Пользователи», вкладке «Киоск Fly»:
- «С рабочим столом» — режим киоска включается при работе с Рабочим столом,
- «Только с программой» — режим киоска включается при работе с выбранной программой.
Для настройки киоска Fly с помощью консольной утилиты fly-kiosk, позволяющей ограничивать среду доменных и локальных пользователей с доступом к мандатным уровням и категориям:
- На клиентской машине в файл /etc/ald/ald.conf добавить группу lock в строку ALLOWED_LOCAL_GROUPS :
ALLOWED_LOCAL_GROUPS=users,audio,video,scanner,lock
- Применить конфигурацию командой: ald-client commit-config;
- При создании доменного пользователя или до его первого входа следует указать «Тип ФС»: «local»
- Создать новую первичную группу пользователю домена отметив пункт «Новая» (в качестве имени группы будет использовано имя пользователя):
- Произвести первый вход со всеми доступными уровнями:
Место расположение локальных домашних директорий доменного пользователя с нулевой ненулевыми классификационными метками отличается.
- Разместить ярлыки для запуска приложений на первом рабочем столе в домашнем каталоге пользователя;
- Запустить требуемые приложения в обычном режиме, что позволит создать файлы для их работы;
fly-kiosk -u ald_kiosk —action lock —home /ald_home/ald_kiosk
fly-kiosk -u ald_kiosk —action lock —home /home/.pdp/ald_kiosk/l1i0c0x0t0x0
fly-kiosk -u ald_kiosk —action lock —home /home/.pdp/ald_kiosk/l2i0c0x0t0x0
fly-kiosk -u ald_kiosk —action lock —home /home/.pdp/ald_kiosk/l3i0c0x0t0x0Для локальных пользователей порядок настройки аналогичен.