Автор Тема: Дополнительное ограничение прав в linux. (Прочитано 2862 раз)

NickDSL · « : 16.01.2011 07:26:38 »

В школе стоит в комп класса. В одном пятые мастера. В другом - 4 лайты.

Школьники - сами знаете что за народ. От нечего делать везде лазят, всё что можно смотрят, изменяют.

Проблема:
Каждый компьютер стал "уникальным": своя тема оформления, много всяких виджетов гаджетов...

Задача:
Привести всё это к одинаковому виду и препятствовать повторному изменению.

У школьников обычная учетная запись: user. (правда она в wheel группе состоит, но я не думаю, что они знают пароль, да и вообще есть такая вероятность - не знают что такое su :) ).

Мне от вас нужна помощь из второй половины задачи: препятствование повторному изменению.
Я просто не знаю где и как копать.

Моя догадка: найти приложения которые отвечают за изменение внешнего вида и убрать право X для user. А можно и rwx убрать )...
Только где это всё искать в файловой системе. (если моя догадка верна вообще).

NickDSL · « **Ответ #1 :** 16.01.2011 08:02:03 »

А вообще, чтобы не мелочиться, можно бы запретить им всё, только кроме исполнения некоторых программ (учебных и некоторых прочих).

ruslandh · « **Ответ #2 :** 16.01.2011 09:13:00 »

Обычно для этого используют системы, подобные kiosk, толькол его нет в KDE4.

А так - создать архив с настройками KDE, и по cron раз в 45 минут, заменять им текущее содержимое ~./kde4
Насчёт lite - не знаю, надо погуглить нет-ли для его оконной среды (не помню, что там) режима kiosk, если есть - использовать его, если нет - что-то аналогичное.

PS пока писал - возникла мысль - можно ещё использовать аттрибуты файлов. создаваемые командами chattr.

dk · « **Ответ #3 :** 16.01.2011 11:23:30 »

Куда более правильный подход - сделать общую авторизацию и завести каждому школьнику свой индивидуальный логин и домашний каталог на сетевом сервере. Это не только удобно, но еще и учит школьником правильным вещам.

ruslandh · « **Ответ #4 :** 16.01.2011 11:53:58 »

Учитель всё рано не сможет изменяить файлы ученика. а ученик при желании скроет от учителя любой файл.

asy · « **Ответ #5 :** 16.01.2011 12:57:29 »

Цитата: ruslandh от 16.01.2011 11:53:58

Учитель всё рано не сможет изменяить файлы ученика. а ученик при желании скроет от учителя любой файл.

Если у учителя есть полный доступ к компьютеру, не скроет. Разве что зашифровать можно.

ruslandh · « **Ответ #6 :** 16.01.2011 13:22:15 »

Цитата: dk от 16.01.2011 11:23:30

Куда более правильный подход - сделать общую авторизацию и завести каждому школьнику свой индивидуальный логин и домашний каталог на сетевом сервере. Это не только удобно, но еще и учит школьником правильным вещам.

И что - пользователь не сможет изменить свои настройки?

ruslandh · « **Ответ #7 :** 16.01.2011 13:24:26 »

Цитата: asy от 16.01.2011 12:57:29

Цитата: ruslandh от 16.01.2011 11:53:58
Учитель всё рано не сможет изменяить файлы ученика. а ученик при желании скроет от учителя любой файл.
Если у учителя есть полный доступ к компьютеру, не скроет. Разве что зашифровать можно.

Вообще-то полный доступ есть у root. Учитель может и не обладать правами root - это прерагатива системного администратора, или кто выполняет эту функцию.

dk · « **Ответ #8 :** 16.01.2011 13:37:07 »

Цитата: ruslandh от 16.01.2011 13:22:15

И что - пользователь не сможет изменить свои настройки?

Сможет, а чем плохо, если школьник изменит свои настройки?

Проблемы начинаются там, где школьник меняет ОБЩИЕ настройки. Что естественно происходит, когда школьники работают под одним логином.

Какая мне разница, какие себе лично школьник поставил обои и виджеты? Если это не мешает остальным?

ruslandh · « **Ответ #9 :** 16.01.2011 13:43:41 »

А я не в курсе что конкретно мешает NickDSL

NickDSL · « **Ответ #10 :** 16.01.2011 14:04:18 »

Цитата: dk от 16.01.2011 13:37:07

Цитата: ruslandh от 16.01.2011 13:22:15
И что - пользователь не сможет изменить свои настройки?

Сможет, а чем плохо, если школьник изменит свои настройки?

Проблемы начинаются там, где школьник меняет ОБЩИЕ настройки. Что естественно происходит, когда школьники работают под одним логином.

Какая мне разница, какие себе лично школьник поставил обои и виджеты? Если это не мешает остальным?

В том то и дело.. что какому нибудь "умнику" нге понравилось оформление или же ему просто нечего было делать.. и он сотворил с внешним видом Мастера такое что другой просто теряется (другой класс на след уроке) и т.п. не удобно.. и не этим они должны заниматься вообще на уроке..

Карлсон · « **Ответ #11 :** 16.01.2011 14:13:50 »

Цитата: NickDSL от 16.01.2011 14:04:18

что другой просто теряется (другой класс на след уроке)

Ой! У вас все под одним логином? А сюрпризов не боитесь? Вот, к примеру: вносим в bash_profile (или в любой другой автозапуск) вызов скрипта, который записывает в cron регулярное (раз в час, в концу 5 урока и т.п.) удаление всех пользовательских файлов, а потом удаляет запись о себе из bash_profile.

В результате один умный мальчик делает так, в следующем классе обычный мальчик входит в систему, и активирует бомбу, а потом у девочки из следующего класса в конце урока просто исчезают все файлы. Учитель лезет в логи, находит запись в крон во время работы второго класса, и дает втык ни в чем неповинному мальчику или девочке. А самый первый умный мальчик получил много lulz :), потому что учитель может даже до логов не догадаться, а уж до сравнения времени модификации файлов...

Каждому ученику по своему юзеру, и пусть делает что угодно. Когда они доведут свой профиль до неработоспособного, просто восстанавливать его на дефолтный.

Компутерный Паша · « **Ответ #12 :** 17.01.2011 08:49:53 »

Цитата: Карлсон от 16.01.2011 14:13:50

просто восстанавливать его на дефолтный.

вот это как делать на автомате?

ruslandh · « **Ответ #13 :** 17.01.2011 09:01:12 »

Он сам восстановиться. если убрать старый профиль.

Компутерный Паша · « **Ответ #14 :** 17.01.2011 09:41:55 »

Цитата: ruslandh от 17.01.2011 09:01:12

убрать старый профиль.

Как? Где и что прописать?

Форум сообщества
Альт Линукс