защита от вандализма. Блокировка изменения настроек. ((вопросы применения ПСПО и Линукс в школах))

[DoctorORZ]

Последний ответ от СТП звучит так:

В данный момент того чего вы хотите в ОС Линукс нет или мы еще не осведомлены о появлении подобного пакета!
Повторяем еще раз, "снести" ОС Линукс без прав пользователя root они не смогут, изменить "красивости" на "обычном" (безопасном) уровне доступа - вполне! Остальное зависит от оснащенности вашей школы и ваших навыков. Вы просили ответ - вариант вам был дан.

Отлично, пошел закупать винт на терабайт и акронис (благо вечная винда у меня есть на нескольких ПК)

[BIgAndy]

Под "вандализмом" я подразумеваю умышленное приведение внешнего вида системы в состояние, при котором следующий пользователь не сможет адекватно работать, а именно - удаление ярлыков с рабочего стола или из меню программ (вообще любых ярлыков), удаление панелей или ярлыков с них, намеренное изменение времени, языков, настроек рабочего стола или браузеров, намеренное уничтожение каких либо папок пользователя.

Я не знаю ниодного линукса, где бы Хоть один ярлык присутсвовал в системе Внешний вид системы Черный экран с несколькими буковками внизу экрана.

Если нужны примеры, пожалуйста:
Ученик намеренно на уроке сносит ярлыки - просит учителя разобраться с этим. Учитель убивает время на ученика - урок сорван. Другой пример - общедоступный ПК в библиотеке. Ученик сносит привычный вид и следующий пользователь уже не может работать в привычной среде - нужно вызывать администратора, который сможет поправить настройки (если сможет - квалификация среднего админа оставляет желает лучшего)

Т.е. локальные ПК не рассматриваются в принципе?

На сегодня в здравом уме и без подозреняи в садо-мазо- нет.

Не держите на рабочем столе лишних ярлыков и важной информации, полный доступ обычный пользователем имеет только к папке /home/имя_пользователя. Доступ к ученическим ресурсам можно вполне осуществить через сеть (т.е. хранить важную информацию на файловом сервере, ресурсы которого можно периодически обновлять в случае чего или делать его бэкап).

Абсолютно правильный ответ.
Тоесть то, о чем я писал в первых двух топиках.
Ну, и, описаные мною модули PAM.

Беда в том, что вы свои привычки хотите перенести в систему, где они являются костылями. И требуемое вам решение реализуется другими, более простыми методами.

[BDag]

Код: Выделить всё

[b]pam_mkhomedir[/b] модуль PAM который создает домашнюю директорию пользователя в случае, если она отсутствует во время старта сессии.
        Он позволяет избежать предварительного создания домашних директорий пользователей в случае нахождения списка пользователей в
        централизованной базе ( таких как NIS, kerberos или LDAP).  Для создания пользовательской директории копируется  шаблон (обычно /etc/skel/),
        а также назначаются права umask на неё.  Созданная домашняя директория не будет удалена после завершения сессии пользователя.

данный модуль слабо подходит для реализации требуемого решения

Код: Выделить всё

[b]pam_exec [/b]это модуль PAM который может быть использован для выполнения дополнительных команд.

данный модель не совсем подходит для организации требуемого поведения

Код: Выделить всё

[b]pam-script[/b] это модель PAM является частью менеджера сессий.  Он опционально выполняет скрипт открытия сессии (/etc/security/onsessionopen),
        скрипт закрытия сессии (/etc/security/onsessionclose) или скрипт авторизации (/etc/security/onauth) если они существуют. как альтернатива, скрипты
        могут быть переназначены соответствующими опциями onsessionopen=/path/to/script, onsessionclose=/path/to/script и onauth=/path/to/script.

Идея также в том, что поддержку таких модулей должен все-таки брать на себя производитель дистрибутива. Не стоит создавать что то слишком большое что бы нельзя было контроллировать силами не слишком шибко грамотного администратора.
Лучше думать, что мы работаем в жестко-зафиксированных условиях "стандартной поставки системы". и ставить в систему "глубоко-системные" вещи типа нового модуля для системы авторизации - думаю не стоит.

То что в данном топике рассматривается в корне противоречит вашему высказыванию, т.к. то что здесь обсуждается - это создания необходимого инструментария которого нет в дистрибутиве. А это в свою очередь подразумевает создание всех необходимых инструментов для организации требуемых процессов работы. В частности для решения данной задачи целесообразно включить в дистрибутив (в готовое решение оформленное пакетом для удобной установки его на любое рабочее место) также необходимый для работы модуль PAM, т.к. он позволяет уменьшить количество не нужных телодвижений для организации аналогичного поведения.

т.е. есть решения правильные/красивые, а есть "просто работающие"/"it-just-works".
Пока предлагаю делать вариант "просто работающее". Если оно будет не правильным - будет потом доделываться при необходимости. Нами или производителем дистрибутива.

Заведомо неправильное решение вообще глупо реализовывать, т.к. оно неправильное и потребует его переделывание.

У меня в отношении этого 2 имха:
1) Монтирование каталогов по сети не решает само по себе вопросов восстановления испорченных настроек из эталонного образца.
2) Пока предлагаю думать в направлении "А что будет, если сети нет ?" или не смогли настроить домен? т.е. нужно гарантированно работающее решение из коробки работающее без настройки сразу после установки.
Т.е. в "условиях изолированной машины". А потом уже - можно будет в виде инструкции описать как это совмещать с монтированием каталогов по сети и т.п. - идея в том, что если кто-то способен настроить автомонтирование - то и выполнить инструкцию тоже способен. Но это сейчас за пределами задачи, имхо.

решение на основе файла-образа вполне может себя оправдать, и монтировать его не обязательно по сети, данный файл вполне может находится на локальном компьютере, при этом он может обеспечить большую производительность нежели работа с архивом.

рабочие папки можно монтировать по ssh с учительсткой машины вручную уже после запуска рабочего стола. в ПСПО5 есть отличная утилита GIgolo под ярлыком "Мой компьютер". У меня она отлично монтировала как SMB так и SFTP (SSH) папки раздаваемые на моей домашней машине-сервере.
Такое решение упрощает настройку, запуск и использование системы. имхо. простые решения - они самые надежные.

монтирование в ручную требует от пользователя определенных действий (дважды щелкнуть по пиктограмме), что полностью исключается в случае автоматизации процесса. Чем более процесс подгатовки рабочего места пользователя автоматизирован, тем легче оно в обслуживании и разворачивании.

Кто сможет описать как настраивать pam_mkhomedir что бы при логоне восстанавливать домашний каталог?

Чтобы востановить каталог при логоне, нужно удалить его при логауте При этом каталог будет создан на основе директории /etc/skel

Кто может описать как настраивать pam_exec для запуска скриптов при логоне /логауте ?

Add the following line to /etc/pam.d/passwd to rebuild the NIS database after each local password change:

passwd optional pam_exec.so seteuid make -C /var/yp

This will execute the command

make -C /var/yp

[BIgAndy]

[quote name='BDag' date='Sep 23 2010, в 20:23' post='1101029']

Код: Выделить всё

[b]pam_mkhomedir[/b] модуль PAM который создает домашнюю директорию пользователя в случае, если она отсутствует во время старта сессии.......данный модуль слабо подходит для реализации требуемого решения

[code][b]pam_exec [/b]это модуль PAM который может быть использован для выполнения дополнительных команд.

данный модель не совсем подходит для организации требуемого поведения

Код: Выделить всё

[b]pam-script[/b] это модель PAM является частью менеджера сессий.  Он опционально выполняет скрипт открытия сессии (/etc/security/onsessionopen),
        [b]скрипт закрытия сессии[/b] .

Зато вдвоем они могли бы так хорошо выполнять требуемую работу.
Алгоритм (например) ^
При входе -создает директорию средствами pam_mkhomedir (ведь NIS и LDAP обозначены только как "наример"), а NIS, кстати, весьма легковесный вариант аутентификации. И для линукса в изолированной среде вполне сойдет.
При логауте pam-script - прибъёт пользовательскую дирректорию.
В полной мере принцип KISS.

[BDag]

Использование PAM_EXEC

Тестовый скрипт /usr/sbin/script который будет писать в файл /tmp/script.log отладочную информацию

Код: Выделить всё

#!/bin/bash

case $PAM_TYPE in

    open_session)
                    echo "LOGING $PAM_USER done" >> /tmp/script.log

                 ;;

    close_session)
                    echo "LOGOUT $PAM_USER done" >> /tmp/script.log
                 ;;
esac

Для запуска данного скрипта потребуется в /etc/pam.d/login дописать в конец файла следующую строчку:
session optional pam_exec.so seteuid /usr/sbin/script

Что при этом происходит:
1. Скрипт /usr/sbin/script запускается от имени пользователя root
2. Т.к. в скрипте происходит разграничение на контроль входа и выхода, то при входе пользователя в файле /tmp/script.log появится строчка "LOGING имя пользователя done"
3. при выходе пользователя в файле /tmp/script.log появится строчка "LOGOUT имя пользователя done"

Т.е. при использовании приведенного выше файла как шаблона, можно писать требуемые алгоритмы выполнения команд от суперпользователя.

PS: когда будете экспериментировать с этим, не забывайте, что этот скрипт будет выполнятся при открытии сессии любого пользователя, поэтому будьте осторожны при удалении чего-либо и вообще каких-либо ошибок, выполняемых от имени root

[DoctorORZ]

Это никак не поможет нам?

[BDag]

этот способ предлагался неоднократно и его здесь вообще не рассматривали.

[BIgAndy]

Это никак не поможет нам?

Вы же KDE не хотите использовать!

[Denjs]

Это никак не поможет нам?

Это для KDE. причем только третьего как понимаю. обсуждали.
это почти хорошо, но вот в ПСПО5ЛЕГКИЙ нет KDE. есть XFCE4. для него есть свой кисоск-мод.

Но помимо этого есть ещё куча софта настройки которого можно испоганить не менее эффективно и которые надо настраивать и настройки которого надо восстанавливать.
Киоск-мод не решает этих проблем.

Предлагаю не лишать учителя возможности настроить состав рабочего стола "по умолчанию".
Потому нужен механизм создания нашего собственного слепка домашнего каталога. копирования из skel не достаточно.

Поставьте вместо /etc/skel teacher:default-dir. Это позволит учителю настраивать у себя каталог и раздавать его по сети всем. Естественно, надо настроить доступ к учительскому компу.

Поставьте вместо /etc/skel teacher:default-dir <---- куда подставить?

а куда верно? как верно? почему?

Во-первых, /etc обычно не такой большой. Во-вторых, небезопасно копировать данные пользователя. В-третьих, это не имеет в обычной практике особого смысла.

У нас есть задача: скопировать и восстановить. а не рассуждать безопасно это или нет.
Если не верно в /etc/ - то куда и как верно?

Denjs, если вы тот свой скрипт еще окончательно не забросили, то вот я его немного переписал. Пока что здесь переписано только все, не относящееся к "собственно сохранению/восстановлению настроек": разбор опций и инициализация данных. Если вас такой вариант интересует, я могу его закончить. (Ах, да, комментарии на английском (не очень грамотно, но зато ascii -), в принципе, если нужно, я могу переделать на русский).

КотЭ слишком шикарен что бы быть реальным))))
спасибо, на досуге разберусь что там да как. На первый взгляд, некторые вещи можно сделать проще, не уверен что нужно так сложно.... но... хотя это моё имхо. разберусь - решим.
Спасибо.

Заведомо неправильное решение вообще глупо реализовывать, т.к. оно неправильное и потребует его переделывание.

Ложка дорога к обеду. Итеративную разработку не от хорошей жизни придумали)))

Использование PAM_EXEC

Вот спасибо! будем играться.

[BDag]

Использование PAM_EXEC v.2

1. пишем стартовый скрипт /etc/security/pam_exec

Код: Выделить всё

#!/bin/bash

case $PAM_TYPE in

    open_session)
                    run-parts /etc/pam_exec/login_scripts/

                ;;

    close_session)
                    run-parts /etc/pam_exec/logout_scripts/
                ;;
esac

2. меняем права на этот скрипт:
chmod 700 /etc/security/pam_exec

3. создаем необходимую структура директорий:
mkdir -p /etc/pam_exec/{login_scripts,logout_scripts}

4. меняем права на эту структура директорий
chmod -R 700 /etc/pam_exec

5. прописываем правило в конце файла /etc/pam.d/login
session optional pam_exec.so seteuid /etc/security/pam_exec

6. создаем тестовый скрипт чтобы увидеть что все работает

Код: Выделить всё

cat <<EOF >> /etc/pam_exec/login_scripts/00-test.sh
#!/bin/bash
touch /tmp/pam_exec_login_test_file
EOF

7. меняем права на данный файл:
chmod 700 /etc/pam_exec/login_scripts/00-test.sh

8. проверяем как работает

Что при этом происходит:
1. Скрипт /etc/security/pam_exec запускается от имени пользователя root
2. В зависимости от того какое событие происходит (открытие сессии или закрытие) поочередно запускаются все скрипты из соответсвующей директории:
/etc/pam_exec/login_scripts/ - содержит скрипты открытия сессии
/etc/pam_exec/logout_scripts/ - содержит скрипты закрытия сессии

PS: стоит проверить существует ли в дистрибутиве команда run-parts, в большинстве дистрибутивов она присутствует и используется в cron.

[Xandry]

Это для KDE. причем только третьего как понимаю. обсуждали.
это почти хорошо, но вот в ПСПО5ЛЕГКИЙ нет KDE. есть XFCE4.

kiosktool работает и в kde4, который в ПСПО5 есть. Всё-таки это практически Альт ведь.
Заинтересованные лица могут поддержать добавление функции гостевой учётной записи в OpenSuse, проголосовав тут

[tim4dev]

Нужно чтобы школьники не могли даже временно поменять настройки.

Это в корне неверно, так как подобно ударам линейкой по пальцам с криком "низяяя". В обучении должна быть политика "можно все, кроме запрещенного законом и моралью". Главное быстро все восстановить - а тут два режима: "песочница" или восстановление настроек. Вы как хотите научить работать с компьютером? Тогда проще учить по слайдам и видео.

Поддерживаю.
IMBF - information must be free. Иначе хакеров (я имею в виду толковых ИТшников) не вырастить.

[tim4dev]

есть специально выделенные машины, которые можно ломать и курочить. Иногда специально их ломаю и даю ученикам найти дефект (способ устранения). А вот стоят у нас ПК в библиотеке, в общем зале (доступ свободный) - мне что, находиться при них неотлучно? Придет один дебил, испортит на нем всё с утра и все - рабочее место пропало. Об этом не думали?

Это существенное уточнение.

Т.е., имхо, на данный момент проблема №1 - нормальная постановка задачи (и общими усилиями мы приближаемся к её решению, правда медленно).

Дело в том, что указанную проблему можно решить в Linux многими способами (в отличие от винды), по крайней мере я не вижу никаких принципиальных препятствий или ограничений Linux.

[DoctorORZ]

Ну, вот сегодня специально дал ученикам ломать ПСПО5. Ломали его 4 класса по очереди. Но, уже после первого пропали нормальные иконки у всех значков, почти все файловые ассоциации и неимоверно исказился внешний вид рабочего стола. Сама система после ребута работает, но работать за таким ПК нормально нельзя

[BIgAndy]

Ну, вот сегодня специально дал ученикам ломать ПСПО5. Ломали его 4 класса по очереди. Но, уже после первого пропали нормальные иконки у всех значков, почти все файловые ассоциации и неимоверно исказился внешний вид рабочего стола. Сама система после ребута работает, но работать за таким ПК нормально нельзя

И что? отдайте каждому свое пространство (губо говоря аккаунт), расскажите как должно быть на их рабочем столе - и забудьте, ,
Каждый его сам себе подгонит под свои хотелки. Можете рассказать, что нужно сделать, чтобы вернуть все настройки назад.

Программы, если помните, можно вызывать и из терминала. причем даже быстрее и информативнее, чем шарить мышом по менюшакм. То, как они сами себе тюнингуют рабочий стол, нисколько не может затронуть юзабилити ОС, если этот ОС !=маздай

[Denjs]

Использование PAM_EXEC v.2

Так. отлично. проблему подвязывания скриптов на событие логина/логаута успешно решили.
имеющихся данных хватит, что бы написать скрипт который сделает настройки автоматически.

Но: можно уточнить? - запуск программы через pam_exec - блокирует загрузку окружения или запущенная программа отрабатывает параллельно?
согласитесь - пока домашний каталог не восстановлен - нам продолжать загрузку не стоит.
Точно так-же и с логаутом - если удалять домашний каталог (что бы при логоне его восстанвил pam_mkhomedir) - то удалять его уже после того как все программы завершились.

Далее: С восстановлением настроек при логоне кажется есть некоторое неудобство.
Оно прекрасно срабатывает при любом логоне. например и в консоли (на любой консоли 1-6-й).
И, подозреваю, сработает при удаленном логине.

Как быть?
Пока я вижу 2 варианта:
простой - проверять вывод who на предмет того у не залогонены ли мы тут уже?
более правильный - реагировать только на логон/логаут "в графике" - т.к. нас интересует восстановление именно при запуске графического рабочего стола.

Есть у кого мысли как проверять - в графике ли производится логон/логаут или нет?

[Skull]

Поставьте вместо /etc/skel teacher:default-dir <---- куда подставить?

В мой однострочник с rsync, который запускается через pam_exec.

У нас есть задача: скопировать и восстановить. а не рассуждать безопасно это или нет.

Если для вас безопасность — пустые слова, то лучше вам в Unix ничего не делать. В принципе.

Если не верно в /etc/ - то куда и как верно?

http://ru.wikipedia.org/wiki/FHS
Очевидно, что в /var/lib/

[Portnov]

Есть у кого мысли как проверять - в графике ли производится логон/логаут или нет?

Разные приложения (gdm, login итп) имеют разные конфиги в /etc/pam.d/. Так что нужно вписать это pam_* только в нужные.

[Denjs]

У нас есть задача: скопировать и восстановить. а не рассуждать безопасно это или нет.

Если для вас безопасность — пустые слова, то лучше вам в Unix ничего не делать. В принципе.

Встречная предьява: если для вас потребности и проблемы клиентов - пустые слова - то лучше вам в бизнесе ориентированном на заказчика ничего не делать. В принципе.

Послушайте - я понимаю, что фактическая задача техподдержки - не решение проблем клиентов, а решение проблем компании с их воплями, и в итоге, фактически многое что делается техподдержкой - сводится к задачам "заткнуть и успокоить". Я даже могу понять, что образ мышления сформированный долгим сидением на техподдержке трудно менять. (ваши ответы, имхо, как-то "пахнут" линией техподдержки)

Но у нас тут не тех поддержка... вы не на работе... давайте уже вы будете думать в направлении как решить задачу и удовлетворить потребности заказчика?
Я к тому, что если вы говорите что "не безопасно", то пожалуйста, давайте предлагать/думать как это это сделать "максимально безопасно". Потому что такова задача - "настроить, скопировать и восстановить" - задача, сформированная потребностями заказчика.

Пожалуйста - смотрите на задачу комплексно - наша область - работа с гостевой учеткой в особых условиях.
Обоснования типа "Во-вторых, небезопасно копировать данные пользователя. В-третьих, это не имеет в обычной практике особого смысла." - без указания на пути решения - вообще малополезны. Напоминание про безопасность интересно, но не более - там вообще и не будет "пользовательских данных". И у нас не "обычная практика", а "особая ситуация" и "особые пользователи".

Вы же судя по всему "много чего знаете" - почему из вас "надо все клещами вытягивать"?

Если не верно в /etc/ - то куда и как верно?

http://ru.wikipedia.org/wiki/FHS
Очевидно, что в /var/lib/

гм... следуя тому-же описанию - имхо более подходит /usr/local/
но не суть. спс.

[Denjs]

Есть у кого мысли как проверять - в графике ли производится логон/логаут или нет?

Разные приложения (gdm, login итп) имеют разные конфиги в /etc/pam.d/. Так что нужно вписать это pam_* только в нужные.

Отлично)
Размещение правила для pam_exec (см шаг 5 в Использование PAM_EXEC v.2)
в конце файла /etc/pam.d/gdm и /etc/pam.d/gdm-autologin позволяет среагировать на событие "логина в графике". (по крайней мере в случае ПСПО5Легкий и его настройких).

Остается вопрос с тем блокируется/приостанавливается ли загрузка окружения при работе скрипта? и если нет - как этого добиться?
как в обработке логаута дождаться выгрузки всех программ, чтобы можно было безболезненно удалить домашний каталог пользователя?

[Skull]

Встречная предьява: если для вас потребности и проблемы клиентов - пустые слова - то лучше вам в бизнесе ориентированном на заказчика ничего не делать. В принципе.

Будете учить меня бизнесу? Для нас потребности и проблемы клиентов превыше всего (если говорить о бизнесе, то нужно добавить «платежеспособных»). Дисклеймер: говорю как человек с дипломом экономиста-менеджера, а не как сотрудник ALT Linux. Данное мнение может не совпадать с официальной позицией организации и иных аффилированных лиц.

Послушайте - я понимаю, что фактическая задача техподдержки - не решение проблем клиентов, а решение проблем компании с их воплями, и в итоге, фактически многое что делается техподдержкой - сводится к задачам "заткнуть и успокоить". Я даже могу понять, что образ мышления сформированный долгим сидением на техподдержке трудно менять. (ваши ответы, имхо, как-то "пахнут" линией техподдержки)

Мои ответы обусловлены нехваткой времени на Вашу нездоровую активность.

Я к тому, что если вы говорите что "не безопасно", то пожалуйста, давайте предлагать/думать как это это сделать "максимально безопасно".

Перечитайте мои сообщения. Я уже предложил безопасный вариант.

Потому что такова задача - "настроить, скопировать и восстановить" - задача, сформированная потребностями заказчика.

Как это противоречит выдвинутым мною решениям?

Вы же судя по всему "много чего знаете" - почему из вас "надо все клещами вытягивать"?

Образовывайтесь, читайте литературу. Вы думали здесь ясли, где кормят с ложки?

гм... следуя тому-же описанию - имхо более подходит /usr/local/

Я сомневаюсь, что эти данные не захочется впоследствии менять. Да и путь, который Вы назвали показывает, что стандарт внимательно Вы не читали.

[BDag]

Размещение правила для pam_exec (см шаг 5 в Использование PAM_EXEC v.2)
в конце файла /etc/pam.d/gdm и /etc/pam.d/gdm-autologin позволяет среагировать на событие "логина в графике". (по крайней мере в случае ПСПО5Легкий и его настройких).

Остается вопрос с тем блокируется/приостанавливается ли загрузка окружения при работе скрипта? и если нет - как этого добиться?
как в обработке логаута дождаться выгрузки всех программ, чтобы можно было безболезненно удалить домашний каталог пользователя?

pam_exec запускатся до входа пользователя и после завершения всех процессов запущенной сессии.

Привязывать исполнения скрипта только при входе в иксовый сеанс, мне кажется не совсем правильно. Это связано с тем, что пользователь вполне может зайти в текстовом режиме, либо запустить в консоли свою копию, другими словами открыть несколько сессий. Поэтому желательно привязать старт pam_exec скрипта из файла /etc/pam.d/system-auth, который будет исполнятся при всех событиях связанных с входом\выходом пользователя. А в самих скриптах осуществить проверку на существование открытых сессий, и в случае их отсутствия произвести требуемое действие, либо при необходимости произвести принудительно завершении сессии пользователя и выполнение всех необходимых операций.

[linuxfresh]

по моему все просто - бабки в кассу - программа на выходе
бабок нет - нет проги

[DoctorORZ]

И что? отдайте каждому свое пространство (губо говоря аккаунт), расскажите как должно быть на их рабочем столе - и забудьте, ,
Каждый его сам себе подгонит под свои хотелки. Можете рассказать, что нужно сделать, чтобы вернуть все настройки назад.

В школе ИВТ изучается с 8 по 11 класс. 8х4, 9Х4, 10х2 и 11Х2, итого 12 классов. В каждом классе по 30 человек. ПК на школу всего 10. Значит 12Х30=360 человек/10= 36 персональных учеток. Вы вообще представляете себе, как это реально настроить? А ПК в библиотеке вообще доступен всем желающим. Мне что, заводить 1060 учеток?
Кстати, а что нужно сделать, что бы вернуть все настройки назад? Можете смеяться, но на дистанционных курсах этого не проходили. Типа такой задачи не может стоять перед нами в принципе.

по моему все просто - бабки в кассу - программа на выходе
бабок нет - нет проги

Ну, тогда перефразируя, можно и так: есть бабки у государства на образование - всё у всех работает. Нет бабок - нам проще ПК списать (положить в кладовку) и обосновать - нет технической возможности их обслуживать (или ещё 1001 вариант).

[Denjs]

по моему все просто - бабки в кассу - программа на выходе
бабок нет - нет проги

Да) но бабкинг кагбЭ уже уплачен)
Государство сколько-сколько выделило на школьный линукс?
просто (теперь высняется, что "на самом деле"...) вредрение (включающее адаптацию) в данную сумму не входило. а техподдержка ... техподдержка стандартно отыгрывает свою роль "поддержки _только_в_рамках_продукта_".
не особо заморачиваясь тем, что сам продукс не всегда подходит под ситуацию... потому что это "каг-бэ-не-задача-техподдержки".
это впрочем и не к тех-поддержке вопросы. Это вопросы к тем кто ведет бизнес-и-иже-с-ними.
к "экономистам-менеджерам с дипломами" - для которых конечные потребители судя по всему оказываются кагбэ "не-то-что-бы-платежеспособными клиентами".)
грустно (

Размещение правила для pam_exec (см шаг 5 в Использование PAM_EXEC v.2)
в конце файла /etc/pam.d/gdm и /etc/pam.d/gdm-autologin позволяет среагировать на событие "логина в графике". (по крайней мере в случае ПСПО5Легкий и его настройких).

Остается вопрос с тем блокируется/приостанавливается ли загрузка окружения при работе скрипта? и если нет - как этого добиться?
как в обработке логаута дождаться выгрузки всех программ, чтобы можно было безболезненно удалить домашний каталог пользователя?

pam_exec запускатся до входа пользователя и после завершения всех процессов запущенной сессии.

ok. тогда предлагаю делать так: удаляем каталог пользователя при логауте через pam_execс проверкой на наличие иксовой сессии и {восстанавливаем домашний каталог сразу или восстанавливаем его при любом следующем логине через pam_mkuserdir}? - или - что более подходит - все делать все-таки при логауте из иксовой сессии. детальное описание и обоснование - см ниже -

Привязывать исполнения скрипта только при входе в иксовый сеанс, мне кажется не совсем правильно. Это связано с тем, что пользователь вполне может зайти в текстовом режиме, либо запустить в консоли свою копию, другими словами открыть несколько сессий. Поэтому желательно привязать старт pam_exec скрипта из файла /etc/pam.d/system-auth, который будет исполнятся при всех событиях связанных с входом\выходом пользователя. А в самих скриптах осуществить проверку на существование открытых сессий, и в случае их отсутствия произвести требуемое действие, либо при необходимости произвести принудительно завершении сессии пользователя и выполнение всех необходимых операций.

нам надо на какое-то иксовое событие завязаться. Либо на логин либо на логаут. Почему ? предположим, ученик испоганил рабочий стол, и при этом залогонился скажем на третьей консоли под своей учеткой. По окончании урока - завершил икс-сеанс, (и _оставил_открытой_ сессию на третьей консоли) и пошел курить на перемену. Следующий урок - начинаем графический сеанс - и видим испоганенные настройки. Потому что у нас висит открытая сессия на третьей консоли, которую видят наши скрипты и потому не хотят восстанавливать настройки...

Предлагаю при завершении иксового сеанса выгнать ученика из всех сессий - что бы по завершении сего действа - нормально удалить домашний каталог или восстановить его из архива...
Этот вариант хорош ещё тем, что если вдруг комп ребутнулся "по не нормальному" - и естественно скрипты восстановления не сработали - то при логоне у нас остается рабочий стол со всеми рабочими файлами с последнего сохранения.

UPD: т.е. всю обработку по восстановлению предлагаю активировать по событию close_session при "вызове скрипта из /etc/pam.d/gdm"
потому что это имхо оптимальный вариант для действий в ситуации описанной выше.
Есть у кого другие подходящие под описанную выше ситуацию предложения?

UPD2: в общем да.. я пришел к аналогичной идее что и высказанная BIgAndy в #156

[BIgAndy]

В школе ИВТ изучается с 8 по 11 класс. 8х4, 9Х4, 10х2 и 11Х2, итого 12 классов. В каждом классе по 30 человек. ПК на школу всего 10. Значит 12Х30=360 человек/10= 36 персональных учеток. Вы вообще представляете себе, как это реально настроить? А ПК в библиотеке вообще доступен всем желающим. Мне что, заводить 1060 учеток?

Слушайте, ВЫ МНЕ не рассказывайте, как линукс в школах внедрять. У меня в силу особенности профессии нет тормозов: если надо, делаю. И не 1060 учеток созавали. Больше. И всю возню в этом топике системного аналитика (да простят меня его боги) наблюдаю с весьма нескрываемым интресом. Пытаюсь для начала уловить систему. Вы знаете в чем основное отличие пути мграции, пройденное нами еще когда о ПСПО и не слышали? В том, что мы не старались воткнуть маздайные подходы в чужеродную системную среду. В том, что сначала создали систему миграции (отследили все потребности пользователей, определили область требуемых нам (нашим детям) знаний и многие другие тонкие настройки. Плюс еще наступили на причинные места всем рефлексирующим, и не желающим обучаться и самообучаться новым для них, а,на самом деле существующим на тот момент уже 25 лет, технологиям персонажам. Я уже много писал, что знаю (вернее, знал на 2008 год) педагогическую среду изнутри, начиная с пед"Университета".
После написания нескольких скриптов все действия совершаются парой десятков команд, причем обычно делегируется самым отчаянным "школьным хакерам", а они уже разбираются.

Малеьнкое замечание: у нас был задействован для учеников не pam_unix, а pam_postgresql +NIS, так что пользовательские учетки создавались сразу по приему и заполнению некоторой кадровой документации во фронтенде на OOo в момент приема в школу. Более подробно не могу сказать о структуре приложения, ибо не я его лично проектировал, но структуру я рисовал.

Кстати, а что нужно сделать, что бы вернуть все настройки назад? .

1) Прото снести "профили" сответсвующих DE. При старте DE сам создаст "профиль" по умолчанию, либо стянет его (при наличии) из /etc/skel.
Какие именно для LXDE и KDE, я написал выше. Структуру Гнома (чо-то в .gconf) и XFCE не помню,ибо более пяти лет пользуюсь ими от случая к случаю, но в любом случае можно найти командой lsof
2) В общем, приблизительно то, что делают в скриптах форумчане выше в топиках.

Можете смеяться, но на дистанционных курсах этого не проходили. Типа такой задачи не может стоять перед нами в принципе

ВЫ знаете, что этой информации лежит полно в самой справочной системе каждого дистрибутива и мало что изменилось принципипльно со времен motiff. В линуксе совершенно невозможно давать некие рецепты, поскольку одни и те же результаты можно получить кучей разных способов. Можно указать путь, по которому, например сам прошел, потом иттеративно и интерактивно помогать.
Перед первой установкой линукса курил документацию две недели.
И, если не будете привязываться ко всякой гуйне, вам будет абсолютно без разницы, с каким линуксом оперировать.

[BDag]

Реализация удаления и создания домашней директории пользователя из шаблона версия 0.1
читаем README и вникаем в суть

UP: удален вложенный файл, новый см. здесь

[Denjs]

Реализация удаления и создания домашней директории пользователя из шаблона версия 0.1
читаем README и вникаем в суть

гы)
За скрипты : +10,
За стиль установки : -1 (ну не стоит заменять содержимое /etc/pam.d так нагло))))

Спасибо за труды. как будет время разберу подробнее и скрещу со скриптами установки.
Думаю что-нибудь среднее между этим, скриптом от sgfault и панелью управления.
но потом... сейчас спать надо...

[BDag]

содержимое pam.d не меняется вообще-то, а добавляется файл (обычно такого имени файла нет), поэтому с установкой все нормально.

Во вложении исправленный скрипт

Код: Выделить всё

25.09.2010 Внесены изменения в файл 01-kill_users_sessions_script из-за опечатки во время переноса некторых функций
           по разным файлам, применение функции обнуления сессии стала выполняться при любом выходе что приводило
           к удалению пользовательской домашней директории, но при этом не отключались все откытые сессии пользователя.

UP: вложение удалено из-за внесений изменений. новый скрипт см. здесь

[malex]

по моему все просто - бабки в кассу - программа на выходе
бабок нет - нет проги

так чем же это - по большому счету - отличается от "мира" windows?