защита от вандализма. Блокировка изменения настроек. ((вопросы применения ПСПО и Линукс в школах))

[BIgAndy]

угу. наша валя уже выделила денег

В более-менее столицах и богатых регионах могут выделить. В депрессивной части (95%территории) будут проблемы. Да, масдайскидки действительны только при условии закупки масдая на все школы региона И минимум на три года.

[watashiwa_daredeska]

Он думает, что первого января будет приянто решение об закупке масдая

Наоборот, не будет. И прибегут несчастные учителя нас пинать за то, что за три года никто не подумал, а как же менять коней на переправе ОС посередь учебного года.

[BDag]

Внесены изменения в скрипт pam_exec_session_controll

Код: Выделить всё

28.09.2010 Внесены изменения в файлы 01-kill_users_sessions_script, functions.sh и добавлен пример
           скрипта 02-mount_server_share. Изменения затрагивают автоопределение менеджера сессий графического
           режима (KDM, GDM, XDE). В виду установленного KDM, другие режим не тестировались. Автоопределение
           происходит на основе содержимого файла /etc/sysconfig/desktop, а в частности на установленной в
           нем переменной DISPLAYMANAGER.
           В инсталятор добавлена опции установки, удалени и включение\отключения службы

[drBatty]

Наоборот, не будет. И прибегут несчастные учителя нас пинать за то, что за три года никто не подумал, а как же менять коней на переправе ОС посередь учебного года.

почему не будет? в Питере уже вроде решили... Или нет?

[BIgAndy]

И прибегут несчастные учителя нас пинать за то, что за три года никто не подумал, а как же менять коней на переправе ОС посередь учебного года.

Ну, это типовой пример модернизации Росии. Ёж - птица гордая... Пока не пнёшь, модренизироваться никто не будет. А будет, конда бороды рубить начнут.

[drBatty]

прочитал последние страницы...
что-то расстроило...
1) зачем приворачивать какие-то самописные скрипты ко всяким кде и kdm? Зачем вам kdm?! вы планируете выбор DE?! дык выкиньте его! ИМХО написать логин и пароль можно и в чёрном экране, не только в синем, а далее - startx автоматом. ну или exit таким-же автоматом, если startx уже был.
2) особенно расстроило 1060 аккаунтов.... Зачем там старшеклассники? Список учеников есть? сделайте из него список логин/пароль, распечатайте и отдайте детям...
3) тот же список поможет создать сами эти аккаунты на всех машинах (список хост/имя есть? ну напишите десять строк)
4) про DE уже писал - в IceWM немного скриптов, лежат они все в /usr/share, и не надо ломать голову.
5) ИМХО юзер в своём аккаунте может делать всё что угодно - пусть правит свой конфиг, если такой умный - вам разве жалко? пускай продвинутые делятся своими конфигами с подружками (а как поделится конфигом KDE?) Если что - уж перенести мышью файл из одной папки в другую любой сможет.
6) про всякие киоски на IceWM вроде я немало видел - народ доволен, ничего у них не ломается. (а что с ней сделаешь без прав супер-юзера или вынимания HDD?)
7) что-то разговор куда-то не туда всё скатывается... зачем какие-то "аналитики vs бизнесмены"? здесь одни чего-то не понимают, вторые не могут понять чего не понимают первые. причём взаимно.

[BIgAndy]

1,3-6) Об этом уже не раз было сказано в топике. Но народ хочет велосипеда. В конце концов, существуют разные модели велосипедов, только вот, учителя свихнутся от наличия еще одного варианта реализовать их хотелку.

2) особенно расстроило 1060 аккаунтов.... Зачем там старшеклассники? Список учеников есть? сделайте из него список логин/пароль, распечатайте и отдайте детям...

Данный метод реализуется при помощи pam_login+pam_exec. Есть еще вариант. home-директории ученико сносятся скриптом по крону. Грубое решение, но не требующее особой квалификации.

7) что-то разговор куда-то не туда всё скатывается... зачем какие-то "аналитики vs бизнесмены"? здесь одни чего-то не понимают, вторые не могут понять чего не понимают первые. причём взаимно.

Это вопрос "системного подхода". Если и будет выработано какое-то устойчивое решение, и, даже , оно удовлетворит DoctorORZ, не факт, что удовлетворит других. К разработке публичных программ и модулей кустарный подход не допустим. В rpm или deb-пакет воткнуть не сложно. Нужны промышленные методы разработки. И, самое главное, нужно понять, кто будет мейнтейнить пакет. Это я, например, и пытаюсь втолковать системному аналитику. Больше ничего.
В данном конкретном варианте велика вероятность "обздаться", даже если разработанный метод "выстрелит" в конкретном случае, во всяких иных случаях. Кто может дать гарантию, что не вступающий в перепалки и тихо работающий BDag не перекинет фокус внимания, скажем через n-дцать лет на другой проект?

[drBatty]

1,3-6) Об этом уже не раз было сказано в топике. Но народ хочет велосипеда. В конце концов, существуют разные модели велосипедов, только вот, учителя свихнутся от наличия еще одного варианта реализовать их хотелку.

тут я не согласен, ЕМНИП в Win в разы больше разных утилиток для самых разных киосков, и ничего - справляются как-то. причём все эти утилитки тоже надо настраивать, и насколько я знаю, дело это может и не архисложное, но жутко долгое и муторное - ходить по всем компам и тупо ставить одни и те-же галки. А написать простейший однострок, который раскидает ВСЕ настройки на все машины может тот же школьник (В ОДИНОЧКУ ЗА 15 МИНУТ). Настройка прав доступа в Win хоть и возможна, но архисложна - ACL это не для 10 машин, тут достаточно простых и очевидных UNIX-прав. Наши внедренцы уже жалуются, что их школьники с лёгкостью освоили Linux, и легко обходят все их защиты и коверкают их как хотят (sic!). Это о чём говорит? Может у них дома Linux системы, и они все хакеры? ИМХО очевидно: освоить Linux и его защиты в разы проще...

Данный метод реализуется при помощи pam_login+pam_exec. Есть еще вариант. home-директории ученико сносятся скриптом по крону. Грубое решение, но не требующее особой квалификации.

дык вроде хотелось Свободы (не?) 1060 аккаунтов даёт эту свободу, причём никто никому не мешает. Причём делается это за минуты, при элементарных базовых знаниях. И ресурсов особо не надо, в т.ч. и места - мне лучше свой мегабайт, чем ничейный гигабайт, который завтра очистят.

Нужны промышленные методы разработки. И, самое главное, нужно понять, кто будет мейнтейнить пакет. Это я, например, и пытаюсь втолковать системному аналитику. Больше ничего.

дык какой пакет? где требования? где хоть какое-то ТЗ?

Кто может дать гарантию, что не вступающий в перепалки и тихо работающий BDag не перекинет фокус внимания, скажем через n-дцать лет на другой проект?

дык он вроде и сейчас "не то" делает?

[BIgAndy]

ЕМНИП в Win в разы больше разных утилиток для самых разных киосков, и ничего - справляются как-то. ................ACL это не для 10 машин, тут достаточно простых и очевидных UNIX-прав. Наши внедренцы уже жалуются, что их школьники с лёгкостью освоили Linux, и легко обходят все их защиты и коверкают их как хотят (sic!). Это о чём говорит? Может у них дома Linux системы, и они все хакеры? ИМХО очевидно: освоить Linux и его защиты в разы проще...
,....
1060 аккаунтов даёт эту свободу, причём никто никому не мешает. Причём делается это за минуты, при элементарных базовых знаниях.

Так и я о том же.. *nix архитектурно отличается о маздая, пожтому методы, которые используются там салбо применимы в *nix. С другой стороны, если идти не против течения, получаешь всю мощь *nix в свое распоряжение. В том числе и управления правами доступа.

дык какой пакет? где требования? где хоть какое-то ТЗ?

Вот и я о томже. Нет ч-е-т-к-о-й проработки ТЗ.

дык он вроде и сейчас "не то" делает?

Ну почему? В рамках озвученной парадигмы как раз то. В рамках Unix-way, решение избыточно. Ибо существует готовых -3-4 на сегодняшний момент. Но только если придерживаться unix-way, а не маздай-привычек.

Укусите меня за ногу, если все компьютеры в школе не объеденены в сеть.

[BDag]

я делаю то, что было озвучено в желаемых условиях, скрипты удаление\восстановления при входе\выходе.
что захотели, то и получили.

1. на мой взгляд удалять и восстанавливать домашнюю директорию вообще нонсенс и не оптимально с точки зрения накладных расходов на операции развертывания.

2. Как тут уже упоминалось, лучше использовать киоск для ограничения настройки информации.

Помимо этого не понятно, как открыватель топика собирается осуществить сохранения измененной информации пользователем использую скрипты сохранения. Я вижу только одну реализацию - указать список директорий из которых нужно будет сохранять данные. Но у этого метода есть существенный изъян - пользователь вполне может изменить имя указанных директорий на любое-другое и в этом случае у скрипта будет исключительная ситуация, когда он не сможет забрать требуемые файлы. Если использовать поиск по расширению, имени то сталкиваемся с аналогичной проблемой.

В этом случае лучше всего как я и говорил ранее использовать сетевую фс, которая бы подключалась автоматически к домашней директории пользователя. Но даже в этом случае нельзя надеяться на отсутствие человеческого фактора, т.е. пользователь имея доступ куда-либо в любом случае при желании сможет совершить ошибку или навредничать.

Рассматриваемый в данном топике вопрос подходит лишь к тем случаям, когда от рабочего места требуется лишь предоставление доступа к какой-либо информации без возможности хранения обработанной информации на локальной машине. Т.е. весь результат деятельности пользователя удаляется.

PS: я этим вопросом занимаюсь лишь из интереса, в связи с тем, что ранее у меня не было необходимости работать с модулем pam_exec.

В конечном итоге, если в процессе троллинга в этом топике не будет сформулировано конкретное ТЗ со всеми требуемыми параметрами и алгоритмами действия, то эта тема загнется до её хоть какой-то реализации будь-то костыль или иной вспомогательный инструмент инвалида (это высказывание ни в коей мере не может быть рассмотрено оскорбление лиц с ограниченными возможностями существования)

[Skull]

зачем какие-то "аналитики vs бизнесмены"?

Первые прекрасно понимают вторых, так как обе стороны — профессионалы. А некоторые некомпетентные личности с помощью демагогических приёмов хотят списать свою несостоятельность на якобы происки злых сил.

[Rootlexx]

i	Уведомление от модератора
	Давайте жить дружно и говорить по теме. Дальнейшие выяснения личностей и прочие сообщения не по теме будут удаляться.

[drBatty]

Помимо этого не понятно, как открыватель топика собирается осуществить сохранения измененной информации пользователем использую скрипты сохранения. Я вижу только одну реализацию - указать список директорий из которых нужно будет сохранять данные. Но у этого метода есть существенный изъян - пользователь вполне может изменить имя указанных директорий на любое-другое

может:

на выходе:
1 mv /home/user /home/user_backup
2 chown root:root !$
3 chmod 000 !$
4 (опционально, может без этого не войти)
mv /home/user_min /home/user

на входе в обратном порядке
/home принадлежит root'у, и потому там юзер ничего не сделает, и войти к себе не сможет, права 000, и сменить права не сможет.

Рассматриваемый в данном топике вопрос подходит лишь к тем случаям, когда от рабочего места требуется лишь предоставление доступа к какой-либо информации без возможности хранения обработанной информации на локальной машине. Т.е. весь результат деятельности пользователя удаляется.

ИМХО это неприемлемо. Создать 1060 акаунтов имхо проще.

PS: я этим вопросом занимаюсь лишь из интереса, в связи с тем, что ранее у меня не было необходимости работать с модулем pam_exec.

вот и мне интересно...

PS: на входе необходимо проверить содержимое /home/user, ведь юзер мог аварийно выйти.
PPS: права нужно проверять при первичном входе любого юзера - вдруг юзер А аварийно вышел, и зашёл как юзер В? В этом случае надо исправить ситуацию

PPPS: надо запретить вторичный вход не текущего юзера.
а как текущий - пусть входит, изучает. Я вроде уже писал: при первичном старте включаются иксы автоматом, при вторичном не включаются. Конечно можно сделать и общие каталоги, для обмена. только не в /home/user, а в другом месте. Правда юзер с другого компа сможет войти к себе(при аварии), но это наверное и хорошо...

[BDag]

на выходе:
1 mv /home/user /home/user_backup
2 chown root:root !$
3 chmod 000 !$
4 (опционально, может без этого не войти)
mv /home/user_min /home/user
на входе в обратном порядке
/home принадлежит root'у, и потому там юзер ничего не сделает, и войти к себе не сможет, права 000, и сменить права не сможет.

В этом случае изменения, которые пользователь произведет во время работы своего сеанса не откатятся. Помимо этого, если GDM не будет настроен на проверку прав пользователя при входе, то пользователь вполне себе сможет зайти и при этом его домашним каталогом окажется / (благо по умолчанию проверка прав обычно установлена). К сожалению автор топика, по видимому, не желает использовать киоск режим, а сним было бы гораздо легче осуществить задумку, ибо на уровне администратора можно было бы заблокировать нужные элементы от изменений.

В случае гостевой работы (пользователь сидит в библиотеке) пересоздание домашней директории вполне оправдано с целью уничтожения всех следов работы предыдущего пользователя.

ИМХО это неприемлемо. Создать 1060 акаунтов имхо проще.

Этот скрипт ни в коей мере не исключает создания сколько угодно аккаунтов, он лишь занимается разворачиванием пользовательского интерфейса из шаблона, автор топика хочет использовать контролируему среду пользователя, чтобы пользователь не мог каким-либо способом осуществить долговременную кастомизацию окружения.

PS: на входе необходимо проверить содержимое /home/user, ведь юзер мог аварийно выйти.
PPS: права нужно проверять при первичном входе любого юзера - вдруг юзер А аварийно вышел, и зашёл как юзер В? В этом случае надо исправить ситуацию

В этом нет необходимости, если в систему зайдет пользователь Б, то у пользователя Б будет свой домашний каталог созданный по шаблону, но проверка аварийного завершения вполне пригодны для жизни в случаях если компьютер выключается обесточиванием.

PPPS: надо запретить вторичный вход не текущего юзера.
а как текущий - пусть входит, изучает. Я вроде уже писал: при первичном старте включаются иксы автоматом, при вторичном не включаются. Конечно можно сделать и общие каталоги, для обмена. только не в /home/user, а в другом месте. Правда юзер с другого компа сможет войти к себе(при аварии), но это наверное и хорошо...

вот здесь я совсем запутался.

[Denjs]

Почему "не желаю" использовать киоск режим? я не против) как одна из опций - думаю будет неплохо.
но! во первых надо органичиться _ТОЛЬКО_ теми подсистемами, что идут в стандартной поставке. Пока предлагаю нацелиться на ПСПО5Легкий. Просто как на последний вышедший и "покрывающий" максимальное число аппаратных конфигураций.

т.е. идея такова: поставили все с диска "как оно было изкаропки", и поставили только один (максимум два) наших пакета. Пакета которые мы полностью контроллируем, и источником которых мы являемся.
Просить устанавливать пользователей в ПСПО5 ещё один WM который ещё и настраивать после установки надо - я про меню и иже с ними - думаю не стоит....

По упомянутым причинам - IceWM например не подходит. Нет его в ПСПО5легкий. Равно как и KDE и иже с ними.
Настройка киоск режима для XFCE упомянута BDag в #142. Думаю программная реализация данного сценария - хороший кандидат для плагина к софине над которой думает Minoru-kun.


Киоск режим - это половина решения проблем. Есть куча прочего софта чьи настройки можно испоганить.
Что-то можно настроить, что - то нет. потому нужно ещё иметь возможность восстановления каталога. имха. что и как испольовать - пусть решает it-шник проводящий установку-настройку..

Об остальном - попозже через день...

[drBatty]

В этом случае изменения, которые пользователь произведет во время работы своего сеанса не откатятся.

да, конечно. ведь это ЕГО сеанс.

Помимо этого, если GDM не будет настроен на проверку прав пользователя при входе

я считаю GDM излишним - изначально не планировалось много DM, зачем тогда GDM?

В случае гостевой работы (пользователь сидит в библиотеке) пересоздание домашней директории вполне оправдано

легко: при выходе ничего не делаем, при входе копируем домашнюю папку - там-же почти ничего нет, только настройки по умолчанию. В случае с IceWM там можно оставить лишь пустые каталоги, ведь все настройки берутся от root'а, хотя пользователь их и может переназначить. Разное ПО само сделает себе каталог. К сотне аккаунтов на машину добавим 101й, и все дела.

Этот скрипт ни в коей мере не исключает создания сколько угодно аккаунтов, он лишь занимается разворачиванием пользовательского интерфейса из шаблона, автор топика хочет использовать контролируему среду пользователя, чтобы пользователь не мог каким-либо способом осуществить долговременную кастомизацию окружения.

вот почему я вам IceWM рекомендую? потому-что там это УЖЕ сделано! настройки рута служат настройками по умолчанию, и перед входом достаточно всего-лишь стереть все файлы в /home/user.
ничего я понять не могу :(((

Просить устанавливать пользователей в ПСПО5 ещё один WM который ещё и настраивать после установки надо - я про меню и иже с ними - думаю не стоит....

По упомянутым причинам - IceWM

например не подходит. Нет его в ПСПО5легкий.

ну так сделайте. сложно пакет собрать? настраивать IceWM после установки НЕ надо - настройте его ДО установки, как вам нравится, это и будет ваш дефолт. который ВАМ нравится.

Киоск режим - это половина решения проблем. Есть куча прочего софта чьи настройки можно испоганить.

дык убейте эти старые настройки - вот и всё. если вам ЭТО нужно, то задача тривиальна:

Код: Выделить всё

rm -rf /home/user/*

перед входом. настройки по умолчанию лежат в /usr/share и никому недоступны (кроме вашего инженера-исправителя, но он только за своим напарником будет подтирать).

Есть куча прочего софта чьи настройки можно испоганить.

жду список такого ПО. что-то мне такое не попадалось...

[yamah]

Всю тему не осилил. Поэтому, если мое предложение уже звучало, то прошу меня простить за повтор.
А кто мешает запретить конкретному пользователю вызывать конкретное ПО для изменения настроек DM?
Скажу про KDE4. Запрет на запуск редактора Меню, SystemSettings, блокируем настройку виджетов, даем права только на чтение конкретных конфигов. Да и, по-моему, в кедах где-то была опция по запрету показа того или иного пункта контекстного меню для плазмы.

[Skull]

Скажу про KDE4. Запрет на запуск редактора Меню, SystemSettings, блокируем настройку виджетов, даем права только на чтение конкретных конфигов. Да и, по-моему, в кедах где-то была опция по запрету показа того или иного пункта контекстного меню для плазмы.

Поправит ручками ~/.local и не нужен ему никакой редактор меню.

[drBatty]

А кто мешает запретить конкретному пользователю вызывать конкретное ПО для изменения настроек DM?

это очень сложно. честно-честно. уже обсуждалось здесь...

Скажу про KDE4.
1)Запрет на запуск редактора Меню, SystemSettings, блокируем настройку виджетов, даем права только на чтение конкретных конфигов.
2)Да и, по-моему, в кедах где-то была опция по запрету показа того или иного пункта контекстного меню для плазмы.

1)а что такое по вашему "право только на чтение"? желателен пример. KDE4 у меня есть.
2)эта опция разве не там же снимается?

[Denjs]

Просить устанавливать пользователей в ПСПО5 ещё один WM который ещё и настраивать после установки надо - я про меню и иже с ними - думаю не стоит....

По упомянутым причинам - IceWM например не подходит. Нет его в ПСПО5легкий.

ну так сделайте. сложно пакет собрать? настраивать IceWM после установки НЕ надо - настройте его ДО установки, как вам нравится, это и будет ваш дефолт. который ВАМ нравится.

Да, сложно) вы готовы объяснять тем кто будет это пользовать что надо ставить 5+ новых пакетов? или рассказывать что наш пакет имеет зависимость от чего-то там ещё? и что тот пакет тоже от чего-то там ещё зависит?
Вы готовы взять на себя труды по поддержке/обновлению пакета с IcеWM для ПСПО5Легкий ? я - нет.
Кроме того, полагаю, любой "хомячок" предпочел-бы 1 пакет, который работает с тем, что установлено "из коробки по дефолту". потому что он новичок.

+лучше-бы минимизировать число нововодимых в систему сущностей/пакетов.
решение подразумевается для применения "хомячками" - "домохозяйками администрирующими Linux")))) чем меньше сущностей - тем меньше шансов что что-то сломается. тем меньше ваша зона ответственности.

в глобальном плане, никто не отказывается от IceWM. Уверен, он в полном "тяжелом" ПСПО5 есть. Но давайте киоск-мод для IcеWM переместим в плагины для "программы дополнитеьной настройки" (то что предлагал Minoru Kun). Кому надо - поставят IcеWM и воспользуются такой возможностью. Аналогично - киоск-мод для KDE4 и др. WM.
Предлагаю отложить пока вопросы настройки различных WM кроме XFCE до момента появления прототипа программы. Полагаю, ели вы напишите консольный скрипт с параметрами для "автоматической настройки киоск-режима по дефолту" для того-же IceWM - и возврата настроек в обычное состояние - он будет позже востребован.

Есть куча прочего софта чьи настройки можно испоганить.

жду список такого ПО. что-то мне такое не попадалось...

Любая программа не связанная с WM.
тот же фокс. тот же thunar. тот же опен-офис. панельки с закладками можно очень сильно понаменять до состояния в котором пользоваться программой будет очень не удобно, если возможно вообще. Что-то можно запретить (как например в фоксе), а что-то нельзя.
Кроме того, (имхо) возможны случаи, когда киоск мод будет мешать обучать - например какая нибудь тема про перенастройку пользовательского графического окружения.

[drBatty]

Да, сложно) вы готовы объяснять тем кто будет это пользовать что надо ставить 5+ новых пакетов?

почему именно 5+? одного ИМХО достаточно.

или рассказывать что наш пакет имеет зависимость от чего-то там ещё?

да вроде там из зависимостей... От GTK зависит... от glibc ещё ;)
Хотя я не готов ответить на этот вопрос - сам юзаю давно этот WM, зависимостей не припомню. Пакетов там действительно много, но они нам не нужны - зачем всякие конфигураторы? наша цель как раз запретить конфигурирование. Надо посмотреть что есть в вашем ПСПО, и собрать всё, чего не хватает (сомневаюсь, что такое будет). Если это и проблема, то решаемая.

Вы готовы взять на себя труды по поддержке/обновлению пакета с IcеWM для ПСПО5Легкий ? я - нет.

я - да. кода, и если, у меня будет время ;) кстати, это достаточно старая программа, и не требует такого ухода за собой как KDE4, в которой постоянно что-то отваливается.

Кроме того, полагаю, любой "хомячок" предпочел-бы 1 пакет, который работает с тем, что установлено "из коробки по дефолту". потому что он новичок.

кто предлагает делать 28 пакетов? ИМХО достаточно двух:
1) ядро
2) всякие гуи для настроек, которые не нужны и даже вредны в киоске
ладно,
3) куча всяких тем и фишечек ;)
больше ничего в голову не приходит...

+лучше-бы минимизировать число нововодимых в систему сущностей/пакетов.
решение подразумевается для применения "хомячками" - "домохозяйками администрирующими Linux")))) чем меньше сущностей - тем меньше шансов что что-то сломается. тем меньше ваша зона ответственности.

кто с этим спорит? у меня в IceWM даже рабочего стола нет, ибо недоделанный ФМ - не нужен.

в глобальном плане, никто не отказывается от IceWM. Уверен, он в полном "тяжелом" ПСПО5 есть.

а что в лёгком? LXDE?

Полагаю, ели вы напишите консольный скрипт с параметрами для "автоматической настройки киоск-режима по дефолту" для того-же IceWM - и возврата настроек в обычное состояние - он будет позже востребован.

уже написал. ;) точнее - он там по умолчанию - настраивает либо сборщик пакета, либо root сразу после установки. Угу. Текстовыми конфигами. Это наверное основной недостаток данного WM - GUI для настройки как-бы есть (опционально обычно), но... Проще поправить конфиг. Хотя это нужно раз в году (я уже неделю вызываю openoffice из консоли, мне его лениво прописывать в меню "пуск", и скорее всего не пропишу - мне ОО редко нужен). Вот возврат:

Код: Выделить всё

rm -f ~/.icewm/*

это надо в скрипт? (:

[yamah]

Скажу про KDE4. Запрет на запуск редактора Меню, SystemSettings, блокируем настройку виджетов, даем права только на чтение конкретных конфигов. Да и, по-моему, в кедах где-то была опция по запрету показа того или иного пункта контекстного меню для плазмы.

Поправит ручками ~/.local и не нужен ему никакой редактор меню.

chmod -v 400 ~/.local
Это чем-то будет грозить?

Скажу про KDE4.
1)Запрет на запуск редактора Меню, SystemSettings, блокируем настройку виджетов, даем права только на чтение конкретных конфигов.
2)Да и, по-моему, в кедах где-то была опция по запрету показа того или иного пункта контекстного меню для плазмы.

1)а что такое по вашему "право только на чтение"? желателен пример. KDE4 у меня есть.
2)эта опция разве не там же снимается?

1. Очепятка. Должно было быть написано "права". chmod, соответствующие ключики и список файлов с конфигами.
2. Запрет на блокировку виджетов снимается пунктом в меню. Где-то читал, что пункт меню можно и убрать нужный пункт меню. Нет пункта - нет возможности разблокировать виджеты - нет возможности сломать.

[watashiwa_daredeska]

chmod -v 400 ~/.local
Это чем-то будет грозить?

Да. Это будет грозить chmod -R 700 ~/.local, после чего придётся-таки восстанавливать. Т.е. одного chmod'а недостаточно.

[drBatty]

yamah
не буду многословным:

Код: Выделить всё

doc@bx:~/test$ cat zzz
мой файл
doc@bx:~/test$ chmod 444 zzz
doc@bx:~/test$ ls -l zzz
-r--r--r-- 1 doc users 16 2010-09-29 13:36 zzz
doc@bx:~/test$ sed -i 'a cracked by drBatty' zzz
doc@bx:~/test$ cat zzz
мой файл
cracked by drBatty
doc@bx:~/test$ ls -l zzz
-r--r--r-- 1 doc users 35 2010-09-29 13:37 zzz

[drBatty]

Да. Это будет грозить chmod -R 700 ~/.local, после чего придётся-таки восстанавливать. Т.е. одного chmod'а недостаточно.

вы намекаете на chown root:root?

Код: Выделить всё

doc@bx:~/test$ su -
Password: *********

Win98 ошибка 001: Неожиданное условие: загрузка выполнена без ошибок.

root@bx:~# chown root:root /home/doc/test/zzz
root@bx:~# logout
doc@bx:~/test$ ls -l zzz
-r--r--r-- 1 root root 35 2010-09-29 13:37 zzz
doc@bx:~/test$ sed -i 'a исчо разок cracked by drBatty' zzz
doc@bx:~/test$ cat zzz
мой файл
исчо разок cracked by drBatty
cracked by drBatty
исчо разок cracked by drBatty
doc@bx:~/test$ ls -l zzz
-r--r--r-- 1 doc users 113 2010-09-29 13:43 zzz

;)

[drBatty]

2. Запрет на блокировку виджетов снимается пунктом в меню. Где-то читал, что пункт меню можно и убрать нужный пункт меню. Нет пункта - нет возможности разблокировать виджеты - нет возможности сломать.

на взлом вашей "защиты" мне понадобится секунд 30. да, школьник != drBatty, ему понадобится 30 минут. Какая разница, если исход один?

И ещё вопрос: а вы-то как будете двигать? Подумали?

[watashiwa_daredeska]

вы намекаете на chown root:root?

Не только на файл, но и на содержащий его каталог.

[drBatty]

Не только на файл, но и на содержащий его каталог.

на ~ ???
555?
и к чему это приведёт? да у вас ничего работать не будет. я думал про +t, но и для этого я придумал способ взлома. в мане пишут что-то про "бит Орлова", возможно это оно, но сомневаюсь... Беда в том, что конфиги юзера лежат в ~, и ничего с этим не поделать, кроме как перенести их в /usr/share, что я и предлагал с первой страницы. Хотите - пропатчите KDE под BSD киоск, и соберите. Лично для меня это слишком сложная задача, учитывая, что уже есть IceWM.

[watashiwa_daredeska]

на ~ ???
555?
и к чему это приведёт? да у вас ничего работать не будет.

А я с самого начала говорю, что права доступа на конфиги — не выход, можно даже не рассматривать этот гиблый вариант.

[yamah]

chmod -v 400 ~/.local
Это чем-то будет грозить?

Да. Это будет грозить chmod -R 700 ~/.local, после чего придётся-таки восстанавливать. Т.е. одного chmod'а недостаточно.

Ну никто ж не мешает еще и chmod chown переместить в userbin (иной каталог к которому нет доступа у обычного пользователя) и отобрать у пользователя доступ к этим. Для учителей в и рута путях прописать этот каталог.

2. Запрет на блокировку виджетов снимается пунктом в меню. Где-то читал, что пункт меню можно и убрать нужный пункт меню. Нет пункта - нет возможности разблокировать виджеты - нет возможности сломать.

на взлом вашей "защиты" мне понадобится секунд 30. да, школьник != drBatty, ему понадобится 30 минут. Какая разница, если исход один?

И ещё вопрос: а вы-то как будете двигать? Подумали?

Насколько я помню запрет пунктов меню прописывался в конфигах.

Ваша идея с держанием конфигов в /usr/share страдает недостатком, что до перезапуска оконного менеджера все-таки пользователь может что-то поломать.