защита от вандализма. Блокировка изменения настроек. ((вопросы применения ПСПО и Линукс в школах))

[drBatty]

Ну никто ж не мешает еще и chmod chown переместить в userbin (иной каталог к которому нет доступа у обычного пользователя) и отобрать у пользователя доступ к этим. Для учителей в и рута путях прописать этот каталог.

sed вы тоже туда пропишете? дык всё рухнет(точнее не загрузится)... а если не рухнет, я найду метод.

Насколько я помню запрет пунктов меню прописывался в конфигах.

Ваша идея с держанием конфигов в /usr/share страдает недостатком, что до перезапуска оконного менеджера все-таки пользователь может что-то поломать.

вы видимо даже не посмотрели, что было написано в моих прошлых постах. ОК, словами:
Я там доказал, что установка как вы говорите "только чтение", и даже установка хозяином root'а НЕ спасёт ваши файлы. Их можно отредактировать даже обычным vim, он напишет: "файл *** только для чтения, если вы хотите его поменять, добавьте !". Сами проверьте. Добавьте. Молча поменяет ваш якобы "закрытый" файл.

Что не так в "моей" идее? Этой идее уже не один десяток лет, и пока никто не поломал - вы станете первым.

про менеджер - вообще не понял. права не зависит от WM и от его запусков - они сами по себе.

[Rootlexx]

Я там доказал, что установка как вы говорите "только чтение", и даже установка хозяином root'а НЕ спасёт ваши файлы. Их можно отредактировать даже обычным vim, он напишет: "файл *** только для чтения, если вы хотите его поменять, добавьте !". Сами проверьте. Добавьте. Молча поменяет ваш якобы "закрытый" файл.

Если у пользователя не будет прав на запись в каталог, содержащий файл, то не поменяет.
А вообще можно воспользоваться не стандартными правами UNIX, а расширенными атрибутами:

Код: Выделить всё

chattr +i файл

- и никто кроме root не сможет не только изменить содержимое файла, но и даже удалить или переименовать его.

[eddy]

Честно говоря, лень читать с самого начала, но я не улавливаю сути проблемы: если у вас всего лишь сотня-другая учащихся и компьютеров хватает на всех учеников в отдельном классе, проще всего завести на каждого ученика отдельную учетную запись.
Иначе - по крону каждую перемену профиль ученика обновляется из /etc/skel (конечно, его надо для начала заполнить) и перезапускаются иксы - при этом полностью восстанавливаются все настройки, а рабочие файлы остаются нетронутыми (хотя, лучше и их удалять, чтобы другие не могли воспользоваться).
Оба варианта я испробовал на своих учениках в колледже. Первый быстро отмел, т.к. хаб глючил, и посреди пары приходилось заниматься перемонтированием /home (по nfs) на всех машинах. Второй нормально себя зарекомендовал.

[watashiwa_daredeska]

е будет прав на запись в каталог, содержащий файл

В *nix-системе неправильно, когда пользователь не имеет прав записи в свой домашний каталог. Плохому детей научите.

[Rootlexx]

В *nix-системе неправильно, когда пользователь не имеет прав записи в свой домашний каталог. Плохому детей научите.

Большая часть программ хранит свои настройки в подкаталогах домашнего каталога, вот в эти подкаталоги и не будет прав записи, а в домашний - пожалуйста. Удалить эти подкаталоги всё равно не получится даже при наличии прав записи в родительский для них каталог, ибо для этого нужно сначала рекурсивно удалить содержащиеся в них элементы, а при отсутствии прав записи в эти подкаталоги сделать это не удастся.

[drBatty]

Если у пользователя не будет прав на запись в каталог, содержащий файл, то не поменяет.

речь про ~

А вообще можно воспользоваться не стандартными правами UNIX, а расширенными атрибутами:

можно... я совсем забыл про то, что после +i нельзя делать хардлинки (хотя про +T не по делу вспомнил). Кто-нибудь проверял? Вопрос в том, не меняет-ли сама KDE свои конфиги, и что для неё является конфигом, а что - временной настройкой (положение окна например - оно-же так намертво встанет)

завести на каждого ученика отдельную учетную запись.

было. испугались в ручную делать 1060 аккаунтов (10 компов х 100 человек, как-то так). про скрипт который сам сделает хоть 1000000 тоже было.

Иначе - по крону каждую перемену профиль ученика обновляется из /etc/skel (конечно, его надо для начала заполнить) и перезапускаются иксы

было. тоже непонятно, что не нравится в этой идее.

ЗЫЖ пошли по второму(?) кругу :-(

[minoru-kun]

Короче, вот версия для разработки. В качестве ЯП/тулкита мной был выбран Python/PyGTK - я надеюсь, что никто не будет холиварить
Архив снабжен pdf-кой, объясняющей, как написать плугин.
Требуются:

• Firefox plugin (гуглить в сторону lockPref)
• Xfce plugin

Оба поддерживают kiosk-mode через конфиги.
Необходимо назначить добровольцев. А я уж свою часть кода тем временем допилю. И соберу пакет. На роль писателя firefox-plugin'а предлагаю кандидатуру Denjs.

[BIgAndy]

Помимо этого не понятно, как открыватель топика собирается осуществить сохранения измененной информации пользователем использую скрипты сохранения. .....

В этом случае лучше всего как я и говорил ранее использовать сетевую фс, которая бы подключалась автоматически к домашней директории пользователя. Но даже в этом случае нельзя надеяться на отсутствие человеческого фактора, т.е. пользователь имея доступ куда-либо в любом случае при желании сможет совершить ошибку или навредничать.

Рассматриваемый в данном топике вопрос подходит лишь к тем случаям, когда от рабочего места требуется лишь предоставление доступа к какой-либо информации без возможности хранения обработанной информации на локальной машине. Т.е. весь результат деятельности пользователя удаляется.

Совершенно верно, и про киоск и про удаление домашних директорий и про сетевые файловые системы (при централизованном доступе вообще все элементарно решается). И про формулирвку ТЗ.
Кроме того все вышеописанное вами относится к элементарному тюнингу администратором порученной ему системы. И выработка сложного кросс-дистрибутивного решения избыточно.

Кроме того, решение озвученное мною про LXDE и KDE (удаление только некоторых директорий и файлов). Все остальное - дело системного администратора. В любом de есть место для помещения стартовых и финальных скриптов. Ну, и .bashrc никто не отменял.

[eddy]

Иначе - по крону каждую перемену профиль ученика обновляется из /etc/skel (конечно, его надо для начала заполнить) и перезапускаются иксы

было. тоже непонятно, что не нравится в этой идее.

Так ведь это самый простой способ. Один раз настраивается ученическое окружение, пишется элементарный скрипт, и - вуаля...

[Xandry]

По упомянутым причинам - IceWM например не подходит. Нет его в ПСПО5легкий. Равно как и KDE и иже с ними.

И то и другое есть в репозитории. Повторяю второй раз уже. В третий раз наверное ссылками придётся закидать для наглядности....

А ещё можно использовать что-нибудь типа apparmor.

[BDag]

тема умерла.

[HAW]

ну тут условия задачи: что бы инициалы автора софта были БГ... в таком духе.

[Bizdelnick]

тема умерла.

Дык топикстартер пришёл, "поставил задачу", ему предложили кучу решений, он сказал, что всё не так, и исчез. И типа остался в белом, а все остальные - как всегда.

[Skull]

тема умерла.

Я сразу предупреждал, что Denjs выдохнется, а он не верил. Эх, молодость неопытная...

[BIgAndy]

тема умерла.

Я сразу предупреждал, что Denjs выдохнется, а он не верил. Эх, молодость неопытная...

Сейчас вас же обвинят, что вы "загнули", "зарубили" "хорошую" тему ...

"Шаман однако"

[Voral]

Сейчас вас же обвинят, что вы "загнули", "зарубили" "хорошую" тему ...

Ну, доля правды в этом есть.
Я тоже считал с самого начала тема загнется, но не из-за "молодости неопытной". А из-за обилия постов типа "вы дураки и ни чего не понимаете". Я еще в обсуждени необходимости выделения раздела говорил нужна особая модерация.

Ну если считаете себя выше того , чтобы возится с чьими то проблемами ну та пройдите мимо. Вы сами почитаете еще раз тему. "Предложили кучу решений, а он не взялся, виндузятник".... Да блин тут тему завалили всякой дребеденью. Если в линуксе новичек так мозги сломаешь на этих советах.... Да еще разгребая откровенный мусор. Можно до посиснения ругать какой угодно костыль, но пока нет трушного решение. и этот костыль решение.

[Bizdelnick]

виндузятник

Этого я не говорил, тем более что топикстартер вроде не виндузятник и не новичок.

[Voral]

виндузятник

Этого я не говорил, тем более что топикстартер вроде не виндузятник и не новичок.

Да я не про вас , и не про кого-то конкретно. "Собирательный образ", пардон, загадивших тему.

[DoctorORZ]

Да это он про меня говорил, что ж там не понятного.
Для тех, кто не понимает, что мне нужно, повторяю условия задачи. Нужно сделать неубиваемую систему, в которой нельзя ничего испортить. А если это испортили, то восстановить после ребута.
В любый виндах 2000-ХР-виста (и кажется семерка) это решается при помощи одной маленькой утилитки. И я счастлив. В линуксе начинается разговор про то, что мне это оказывается вообще не надо, потому что "я просто не умею его готовить". Пусть не умею. Но и готового решения нет. Вот у меня второй системой стоит убунту 10.10. Какой конкретно пакет мне поставить или ещё что сделать, что бы дать ПК сыну на полчаса пока он не угробит мне систему? И не надо говорить, что не угробит. Внешний вид уделает так, что потом пол-часа возиться. И никакой ребут систему не спасет. Для убунту есть решение? А если у меня будет не убунту, а Альт? А Мандрива? И что - каждый раз по особому изгаляться? Нет, ребята. Линукс - для тех кому он нужен. А в школе нужен мел и доска. И ручка с бумагой. И такой же надежный инструмент. Да учителя уже начали презентации тупо перегонять в набор картинок-слайдов которые гарантированной пойдут даже на DVD-плеере. И не нужно думать в каком формате им презентацию сохранять.
Я прошу немногого - дать надежный инструмент. В винде он есть. И у меня есть знакомые, которые реально этот инструмент пользуют. Ждем универсального решения... Готов протестировать что скажите. Только и МарьВанна 55 лет тоже должна суметь это установить и настроить.

[Voral]

Лично я бы вашу проблему решил слдующим способом. (на мой взгялд саммым быстрым). Пока тут не родится более прямое решение.
Исходное состояние имеем. Правильно настроенную систему. На ней есть 1 пользователь под которым входят все ученики.

Этот сами ученик может испортить только конфиги лежащие в домашней директориии этого пользоваеля. Т.е
home/ouruser/
Можно еще конкретнее. Нас интересуют директории которые начинаются с ".". Для универсальнотсти можно рассматривать их все. Но там могут оказаться,например, диски отVirtualBox и вся "файловая структура" wine.

1. при помощи tar архивируем эти каталоги и помещаем архив в каталог доступный только руту. Файу тоже даем владельца и группу рута.
2. настраиваем расписание на восставноление. все прписывается в файле /var/crontab
Т.е по укзанному там расписанию будет выполняться команда разархивирования архива.

Далнеешее развитие:
1. Можно убрать этот архив на сетевой ресурс. Так что бы на всех однотипных машинах был один и тот же конфиг у данного пользователя
2. Команду разаврхивирования оформляем в вие скрипта. И на рабочий стол для пользователя-чителя вешаем ярлык на запуск того скрипта. (Соответсвенно и права перед этим обеспечиваем)

Решение не совсем оптимальное. Но оно будет работать.
Есть вопросы? Развиваем тему?
ЗЫ Только постарайтесь не отвечать на выпадки не по теме. Лично я потрял интерес к этой теме из-за обилия мусора.

[drBatty]

Но и готового решения нет.

есть: IceWM.
по умолчанию всё работает именно так, как вам оно нужно: настраивается всё через конфигурационные файлы, которые доступны для изменения лишь root'у.

Я прошу немногого - дать надежный инструмент. В винде он есть. И у меня есть знакомые, которые реально этот инструмент пользуют. Ждем универсального решения... Готов протестировать что скажите. Только и МарьВанна 55 лет тоже должна суметь это установить и настроить.

ну нет! либо администратор настраивает Систему, либо марьванна курочит настройки. Третьего не дано.

2. настраиваем расписание на восставноление. все прписывается в файле /var/crontab

поправочка: crontab -e

Но там могут оказаться,например, диски отVirtualBox и вся "файловая структура" wine.

для этого случая в tar'е предусмотрен ключик --exclude

[Bizdelnick]

Для тех, кто не понимает, что мне нужно, повторяю условия задачи.

Я условия помню. И у меня была идея реализовать это дело на базе xguest от Мандривы, сделав ещё один пакет, который добавлял бы возможность изменения домашнего каталога администратором. Может и займусь этим, сейчас просто не до того.

[HAW]

Нужно сделать неубиваемую систему, в которой нельзя ничего испортить.

про киоск и затирание конфигов из /etc/skel при входе пользователя говорили вроде?

[BIgAndy]

про киоск и затирание конфигов из /etc/skel при входе пользователя говорили вроде?

Говорили..говорили... И произменения прав на директории, в которых хранится информация о распоожении объектов на декстопе говорили.
нет. Человеку нужна еще кака-я то утилитко, ибо права изменить, хотя бы в том же /etc/skel он не хочет.
Он хочет, чтобы сделали так, как понятно ему. Так как в виндус. Все другие решения ( а их было, как минимум три) , как видите, он даже не соизволил протестировать. Так о чем тогда речь ведете?

Ну и потом: ну пусть его сын в бубунте/алте/мандриве и прочая ковыряет на своем десктопе что угодно. У каждого ведь свое пространство-песочница!

повторяю условия задачи. Нужно сделать неубиваемую систему, в которой нельзя ничего испортить.

А систему И так практически не возможно испортить, если вы не додумались отдать права рута кому-нть с неустойчивой психикой.. Можно только подвигать свистоперделки на DE.

Нет, ребята. Линукс - для тех кому он нужен.

А вот это - опять таки момент истины. Так и звучит:"Вот маздай мне привычнее, а линкс- напряжнее, поэтому сами возитесь, а я просабботирую на своем рабочем месте его внедрение." Инече, если бы человек был заинтересован, он бы попробвал бы хотя бы одно из решений, и, хотя бы сказал, что именно ему в нем не нравится. А то получается "Сделайте мне как мне привычто, тоесть по-маздаевски".

[DoctorORZ]

Я ничего не саботирую. Линукс в районе у меня у первого появился - целый класс. И сейчас тоже вот ставлю новые системы (в связи с переходом). Просто, действительно, привычка - великая сила. И пока не придет опыт, пока не будет понимания мне нужно готовое решение. Масдайное - пусть. Да как угодно назовите. Лишь бы оно работало. Да, и совсем мы забыли про один момент - откровенно слабые конфиги ПК.
Кстати, Альт на IceWM на мой конфиг не устанавливается - видео встроенное. А разбираться сейчас просто нет времени.

[BIgAndy]

Просто, действительно, привычка - великая сила. И пока не придет опыт, пока не будет понимания мне нужно готовое решение.

Ну, так для начала воспользуйтесь одним из решений, хотя бы скажите, что в нем вам конкретно не подходит! А то люди в пустоту работают.

Да, и совсем мы забыли про один момент - откровенно слабые конфиги ПК.

Я не забыл. Я изначально вам предлагал сетецентрическую систему. Во первых, для уменьшения административных усилий в разы (в составе школного альта идет, по-моему диск с LTSP, токорый разворачивается за пару часов). Во вторых, - для большей устойчивости системы. Тогда при логине возможно создавать с нуля профиль пользователя, а файлы, требующие хранения, располагать в отдельном месте.

Кстати, Альт на IceWM на мой конфиг не устанавливается - видео встроенное. А разбираться сейчас просто нет времени.

Используйте LXDE. Он полегче.

[watashiwa_daredeska]

что сделать, что бы дать ПК сыну на полчаса пока он не угробит мне систему? И не надо говорить, что не угробит. Внешний вид уделает так, что потом пол-часа возиться

1. Внешний вид -- не система.
2. Пользователь без привилегий администратора не может угробить систему при умолчательных настройках любого распространенного дистрибутива.
3. Создание отдельной учетной записи для пользователя -- 3 секунды.
4. # rm -rf ~user && cp -R /etc/skel ~user && chown -R user.user ~user && chmod 755 ~user -- восстановление после облома. После парочки таких восстановлений жертва научится не ломать. :)

А если у меня будет не убунту, а Альт? А Мандрива? И что - каждый раз по особому изгаляться? Нет, ребята.

Да, сенсей, это другие операционные системы.

"Собирательный образ", пардон, загадивших тему.

Улыбаемся и машем, улыбаемся и машем. :)

Есть люди, которые спросят дорогу, выслушают, скажут спасибо и пойдут, либо спросят ещё у кого, если ты не знаешь, а есть те, кто спросит дорогу и ещё матом покроет, что ты его туда нахаляву на руках не донёс.
Да, конечно, чтобы воспользоваться указанным маршрутом, надо уметь ходить, но ходить учат ведь не первые встречные на улице, правда? Можно доехать на такси, но оно стоит денег.

[Bizdelnick]

Я не забыл. Я изначально вам предлагал сетецентрическую систему. Во первых, для уменьшения административных усилий в разы (в составе школного альта идет, по-моему диск с LTSP, токорый разворачивается за пару часов). Во вторых, - для большей устойчивости системы. Тогда при логине возможно создавать с нуля профиль пользователя, а файлы, требующие хранения, располагать в отдельном месте.

DoctorORZ, послушайте умного человека. Оно правда очень непривычно, но как разберётесь - станет намного легче.

[Voral]

Есть люди, которые спросят дорогу, выслушают, скажут спасибо и пойдут, либо спросят ещё у кого, если ты не знаешь, а есть те, кто спросит дорогу и ещё матом покроет, что ты его туда нахаляву на руках не донёс.

это все "бла-бла-бла"

Я не вижу ни чего зазорного в том, чтобы "преподнести решение на блюдечке" тому кому навязали систему с верху. Я, например, сейчас обслуживаю прогу, которую в некоторых местах лично внедрял 10 лет назад. Тогда тамошние работники были в том же положении, что и учителя. "не нравится - увольняйся", а кроме изучения нового ПО сделай еще вот это и это и.... и так на 25 часов в сутки.

Поначалу преподносил решение на блюдечке и сидел целыми днями, потом свел это к минимуму, потом вообще перестал преподносить на блюдечке. Сейчас многие уже могут лучше меня решить некоторые проблемы и очень довольны системой. Сейчас практически только обновляю через инет.

[watashiwa_daredeska]

Поначалу преподносил решение на блюдечке и сидел целыми днями, потом свел это к минимуму, потом вообще перестал преподносить на блюдечке. Сейчас многие уже могут лучше меня решить некоторые проблемы и очень довольны системой.

В этом и вопрос. Стоило ли изначально преподносить на блюдечке, или сразу по бразильской системе?