Защита от хулиганов AltLinux 5 School Junior

[phucker]

Защита от хулиганов AltLinux 5 School Junior

Сегодня сделал два скрипта для блокировки-разблокировки настроек среды. Такая блокировка ощутимо облегчит работу преподавателя по исправлению косяков сделанных кривыми и (или) хулиганскими ручками.

Файл lock.sh запускать с правами root (команда sh lock.sh)

#!/bin/bash

#Create by Phucker (phucker.narod.ru)
#Locker for Alt Linux 5 School Junior
#Блокировщик настроек среды

chmod go-x '/usr/bin/passwd'
chmod go-x '/usr/sbin/passwd'
chmod go-x '/usr/bin/blueman-manager'
chmod go-x '/usr/bin/simple-ccsm'
chmod go-x '/usr/bin/wineserver'
chmod go-x '/usr/libexec/evolution-data-server/evolution-data-server-2.26'
chmod go-x '/usr/bin/bluetooth-properties'
chmod go-x '/usr/bin/gksu-properties'
chmod go-x '/usr/bin/gnome-about-me'
chmod go-x '/usr/bin/gnome-appearance-properties'
chmod go-x '/usr/bin/gnome-at-properties'
chmod go-x '/usr/bin/gnome-default-applications-properties'
chmod go-x '/usr/bin/gnome-display-properties'
chmod go-x '/usr/bin/gnome-keybinding-properties'
chmod go-x '/usr/bin/gnome-keyboard-properties'
chmod go-x '/usr/bin/gnome-mouse-properties'
chmod go-x '/usr/bin/gnome-network-properties'
chmod go-x '/usr/bin/gnome-power-preferences'
chmod go-x '/usr/bin/gnome-screensaver-preferences'
chmod go-x '/usr/bin/gnome-session-properties'
chmod go-x '/usr/bin/gnome-volume-control-settings'
chmod go-x '/usr/bin/gnome-window-properties'
chmod go-x '/usr/bin/nautilus-file-management-properties'
chmod go-x '/usr/bin/nm-connection-editor'
chmod go-x '/usr/bin/notification-properties'
chmod go-x '/usr/bin/polkit-gnome-authorization'
chmod go-x '/usr/bin/qtconfig-qt3'
chmod go-x '/usr/bin/qtconfig-qt4'
chmod go-x '/usr/bin/seahorse-preferences'
chmod go-x '/usr/bin/vino-preferences'



Скрипт unlock.sh.

#!/bin/bash

#Create by Phucker (phucker.narod.ru)
#UnLocker for Alt Linux 5 School Junior
#Разблокировщик настроек среды

chmod go+x '/usr/bin/passwd'
chmod go+x '/usr/sbin/passwd'
chmod go+x '/usr/bin/blueman-manager'
chmod go+x '/usr/bin/simple-ccsm'
chmod go+x '/usr/bin/wineserver'
chmod go+x '/usr/libexec/evolution-data-server/evolution-data-server-2.26'
chmod go+x '/usr/bin/bluetooth-properties'
chmod go+x '/usr/bin/gksu-properties'
chmod go+x '/usr/bin/gnome-about-me'
chmod go+x '/usr/bin/gnome-appearance-properties'
chmod go+x '/usr/bin/gnome-at-properties'
chmod go+x '/usr/bin/gnome-default-applications-properties'
chmod go+x '/usr/bin/gnome-display-properties'
chmod go+x '/usr/bin/gnome-keybinding-properties'
chmod go+x '/usr/bin/gnome-keyboard-properties'
chmod go+x '/usr/bin/gnome-mouse-properties'
chmod go+x '/usr/bin/gnome-network-properties'
chmod go+x '/usr/bin/gnome-power-preferences'
chmod go+x '/usr/bin/gnome-screensaver-preferences'
chmod go+x '/usr/bin/gnome-session-properties'
chmod go+x '/usr/bin/gnome-volume-control-settings'
chmod go+x '/usr/bin/gnome-window-properties'
chmod go+x '/usr/bin/nautilus-file-management-properties'
chmod go+x '/usr/bin/nm-connection-editor'
chmod go+x '/usr/bin/notification-properties'
chmod go+x '/usr/bin/polkit-gnome-authorization'
chmod go+x '/usr/bin/qtconfig-qt3'
chmod go+x '/usr/bin/qtconfig-qt4'
chmod go+x '/usr/bin/seahorse-preferences'
chmod go+x '/usr/bin/vino-preferences'

[dk]

Почему бы не сделать все по-человечески - персональный эккаунт каждому пользователю и не думать больше о том, что он сможет сменить пароль?

[YYY]

Без сервера беда.
А сервер не всегда возможен...

[phucker]

Почему бы не сделать все по-человечески - персональный эккаунт каждому пользователю и не думать больше о том, что он сможет сменить пароль?

Такова специфика работы: разные группы, разные преподаватели, должность администратора не предусмотрена. Вот и приходится настраивать тачки так, чтоб они самостоятельно "выживали".
:)

[алик]

ради интереса запустил скрипт.  реакция студентов на паре была неописуемая  ;D ;D ;D ;D ;D

[Жуть-Кошмаррр!!!]

ОТЛИЧНАЯ РАБОТА!!!

Действительно есть такая проблема и гораздо удобнее в наших реалиях, чтобы "тачки выживали сами" :)

Послезавтра буду налаживать у себя!

Большое спасибо за труд!

[Speccyfighter]

Если компьютер один и на нём один общий аккаунт, то может быть проще:

Код: [Выделить]

; who is active
$ who
$ who -u
$ users

; last logins
$ last
$ last -a

; lock account
# usermod -L user

; unlock account
# usermod -U user


Ubuntu и Debian для продвинутых
Более 1000 незаменимых команд
стр.297, Изменение учетных записей пользователей

Код: [Выделить]

man usermod
man last | lastb


Код: [Выделить]

# apt-cache show shadow-change
Package: shadow-change
...
Filename: shadow-change-4.0.4.1-alt9.i586.rpm
Description: Utilities for changing user shell, finger and password information
 This package includes utilities for changing user shell, finger and password
 information:
 + chage: changes the number of days between password changes and the date of
          the last password change;
 + chfn: changes user fullname, office number, office extension, and home phone
         number information for a user's account;
 + chsh: changes the user login shell.


[berkut_174]

Без сервера беда.
А сервер не всегда возможен...

Подскажите, как с сервера можно запретить "хозяйничать" пользователю? (как альтернатива этому скрипту)

[YYY]

Подскажите, как с сервера можно запретить "хозяйничать" пользователю? (как альтернатива этому скрипту)

У каждого свой логин и пароль.
Пусть себе в домашнем каталоге хоть на голове стоят :)

[Speccyfighter]

Подскажите, как с сервера можно запретить "хозяйничать" пользователю? (как альтернатива этому скрипту)

По ssh на локальную машину и usermod'ом по аккаунту?

[berkut_174]

У каждого свой логин и пароль.
Пусть себе в домашнем каталоге хоть на голове стоят :)

Как вариант - возможен. Но если компьютер общедоступный, то тут уже проблема... Если пользователей 100... или ещё больше...

По ssh на локальную машину и usermod'ом по аккаунту?

Я так понимаю что этим же скриптом? Тогда, это можно сделать и при установке ОС на клиентах.

Спасибо за ответы.
Спросил в первую очередь потому, что думал есть какая то "волшебная" опция или программка для запрета изменений при помощи сервера... Но пока только, мне больше подходит, если домашний каталог пользователя "посадить" на tmpfs... А для хранения файлов можно либо в сети ресурс выделить, либо доп. раздел на ЖД создать...

[Speccyfighter]

По ssh на локальную машину и usermod'ом по аккаунту?

Я так понимаю что этим же скриптом?

Ну вообще-то я
# usermod -L user
# usermod -U user
имел ввиду.

Код: [Выделить]

# usermod
Usage: usermod [-u uid [-o]] [-g group] [-G group,...]
[-d дом. [-m]] [-s шелл] [-c коммент.t] [-l новое_имя]
[-f inactive] [-e expire] [-p пароль] [-L|-U] имя
L|U - Lock|Unlock

И как вариант
# passwd -l user
# passwd -u user
Но требует наличия пароля у пользователя.
Действие ключа аналогично.

Это варианты блокировки/разблокировки аккаунта пользователя.

[YYY]

Как вариант - возможен. Но если компьютер общедоступный, то тут уже проблема... Если пользователей 100... или ещё больше...

Ну у меня в 2х класса альт5 c icewm - пока ничего не поломали - GUI крутилок нет - крутить нечего  :)

[BanZaj]

Делали для коледжа - LDAP домен, доменный юзер на всех один, хомяки локальные, скриптами с сервера грузился общий на всех эталонный профиль и разворачивался локально а старый безбожно удалялся. Общие файловые ресурсы монтировались по nfs. У преподавателя были инструменты для правки и настройки профиля.

[ska]

Почему бы не сделать все по-человечески - персональный эккаунт каждому пользователю и не думать больше о том, что он сможет сменить пароль?

ну я сразу так и сделал. И нечего фигней заниматься)