Автор Тема: Защита от изменения настроек доступных пользователю (Симпли XFCE).  (Прочитано 263 раз)

Оффлайн mayhl

  • Завсегдатай
  • *
  • Сообщений: 568
    • softmasterhl.awardspace.info
    • Email
Ноутбуки для обучающихся в комп. классе подключены по wi-fi.
Прошу советов, как сделать пограмотнее.
Как я понимаю: защитить пользовательские конфиги (?), смонтированные разделы(в etc/fstab ro) от записи , удалить NetworkManager (Etcnet wifi), ... как-то закрыть доступ к дисп. настроек (?), как-то отключить usb для флешок и оставить для мышек (?)...

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 31 778
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Они у вас что пароль root знают ?

Сделать как live носитель, до первой перезагрузки ;-)

Оффлайн mayhl

  • Завсегдатай
  • *
  • Сообщений: 568
    • softmasterhl.awardspace.info
    • Email
Они у вас что пароль root знают ?

Сделать как live носитель, до первой перезагрузки ;-)
пароль root не знают, пока не научились менять.
Доступны пользователю: Диспетчер XFCE из меню, NetworkManager ... разные "свистелки".

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 31 778
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Ну, это запретить можно , скорей всего через  polkit настраивается всё

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 31 778
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Ну и не включать пользователя в группу wheel и тому подобное


Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 31 778
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Возможно самое правильное решение поднять а классе/школе домен и через него рулить правами

Оффлайн mayhl

  • Завсегдатай
  • *
  • Сообщений: 568
    • softmasterhl.awardspace.info
    • Email
Это слишком серьёзно.
Сеть без сервера (и слышать, юзать никто не хочет...), сервисы, сетевая работа никого не интересует ...
А, как только ростелеком с ЕСПД подключили = даже про прокси+СКФ никто слышать не хочет.
« Последнее редактирование: 18.11.2022 17:50:33 от mayhl »

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 31 778
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Ну, тогда у вас проблемы :-)
Настраивать кучу машин удобнее и безопаснее с одного места, чем настраивать каждый комп отдельно
Тут даже человеческий фактор начнет влиять - в одном одно не учел, в другом другое ;-)

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 878
в 2011 году я установил вместо xfce icewm и за более чем 10 лет так и не нашлось школьника кто бы осилил конфиг айса :)

флешки закрыл правами на каталог /media

нетворк-менеджера и не было...

системного wine нет

на хомяке noexec

все четко Ж)

Сервера не было и нет :)))

Оффлайн vold

  • Начинающий
  • *
  • Сообщений: 11
Ноутбуки для обучающихся в комп. классе подключены по wi-fi.
Прошу советов, как сделать пограмотнее.
Как я понимаю: защитить пользовательские конфиги (?), смонтированные разделы(в etc/fstab ro) от записи , удалить NetworkManager (Etcnet wifi), ... как-то закрыть доступ к дисп. настроек (?), как-то отключить usb для флешок и оставить для мышек (?)...

Если ещё актуально: запрет на просмотр данных от wi-fi и, соответственно, изменение настроек делал так (правда на обычном Альт):

Создаю правило через su: mcedit /etc/polkit-1/rules.d/01-pravilo-wifipass.rules
Вношу туда конфиг:
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.NetworkManager.settings.modify.system" && subject.isInGroup ("xgrp")) {
return polkit.Result.AUTH_ADMIN;
};
});
Сохраняю. Теперь запрашивает пароль. Также можно указать вместо группы xgrp конкретного пользователя.

По поповду wine, флешек и т.д. Я бы wine снёс вообще, если в работе он не нужен. Если нужен, то права доступа ставить на запуск установщика (по умолчанию он ничего не треубет, да).
Флешки запрещать ну такое, потом все равно придется кому-то да разрешить подключить, а это лишний раз монтировать или пароль передавать. Но тут уже сами решайте.

Спойлер
Поднять домен на линукс и рулить через него в обычной школе (особенно если это не мегаполис, где полно специалистов) - unbelievable. Даже на win зачастую проблема и сервер разворачивают как правило сторонние конторы, которые потом исчезают навсегда
« Последнее редактирование: 06.12.2022 15:32:06 от vold »