защита от вандализма. Блокировка изменения настроек. ((вопросы применения ПСПО и Линукс в школах))

[Denjs]

По материалам обуждения в ЖЖ.
http://community.livejournal.com/ru_foss/7...680484#t1680484

doctor_orz пишет:

Есть чУдная виндовая программа от MS (бесплатная) - Windows SteadyState. С её помощью можно защищать компы учеников от вандализма. У меня это программа на втором месте, после антивируса. А нет ли аналогов для линукс систем? Я понимаю, что там всё можно настроить правами и конфигурационными файлами. Но, аналогичная оболочка в графическом интерфейсе сбережет кучу времени и решит 99% проблем для учителей.

Я хочу блокировки изменения настроек браузера. С IE и стедистейд это работало на ура - у ученика просто не было прав на работу со свойствами обозревателя. Это нужно для того, что у меня пока не прозрачный прокси, а свой прокси. И если снять в браузере его настройки, то контентной фильтрации не будет. А зачем мне проблемы с прокуратурой.
Дальше, на рабочий стол ничего нельзя было разместить, только в свою папку. Диск С был невидимый. Автозапуск дисков и флешек отключен. Изменять настройки рабочего стола было нельзя, изменить расположение панелей, фоновых рисунков и прочее тоже. Грубо говоря, там где была эта защита ПК работали без проблем целый учебный год. Там, где стоял Альт4 в лайт-версии - спустя 2-3 месяца перестали нормально работать 3 пк из 12. Рутовый пароль ученики ессно не знают. Приходилось заходить админом, убивать пользователя и заводить нового.

Вопрос о, как минимум "странной" (имхо), организации сети опустим - предлагаю обсудить задачу защиты настроек.

__________________________
UPD: для тех кто только присоединился (что бы не плодить предложений и постов которые уже обсудили)
(1) Промежуточное резюме обсуждения : защита от вандализма. Блокировка изменения настроек. #90
(2) Обсуждение вопроса о настройке сети: Правильная настройка прокси для прокуратуры и нормальной работы школы. #1

(3) "работающий релиз программы настройки "киоск мода" для Firefox .": защита от вандализма. Блокировка изменения настроек #300
(4) "работающий релиз v.0.2 программы настройки "киоск мода" для Firefox (интерфейс на Qt).": защита от вандализма. Блокировка изменения настроек #323 + см. ( видео/скринкаст)
(5) Настройка Киоск-мода выделена в отдельный проект. см тему "AnyKiosk" и http://anykiosk.berlios.de/

[sash-kan]

предлагаю обсудить задачу защиты настроек

например, домашний каталог read-only. или перезаписываемый при логине.

более сложный вариант — пересборка нужных программ с удалением ненужных пунктов меню.

[ArtSh]

Есть ещё такая штука, как kiosk mode. И кстати, домашний каталог можно монтировать в память...

[Bizdelnick]

домашний каталог read-only. или перезаписываемый при логине.

А где детишкам задания сохранять?

[sash-kan]

домашний каталог read-only. или перезаписываемый при логине.

А где детишкам задания сохранять?

в примонтированном каталоге. для простоты — в подкаталоге домашнего каталога пользователя.
в ru_foss озвучена такая информация:

Если работы ученика будут сохраняться в папочке на ПК учителя по дефолту - то отлично.

вот каталог с учительского компьютера и будет монтироваться.
и автоматизируется весь процесс несложно. а уж если используется ltsp…

[Rootlexx]

В GNOME можно задавать для отдельных ключей GConf принудительные значения, менять которые пользователю не разрешается. В gconf-editor был пункт в контекстном меню, помнится.
В KDE, как уже упомянули, KIOSK. Документация: http://docs.kde.org/stable/ru/kdebase-runt...g-down-kde.html .

[drBatty]

в качестве WM ИМХО пойдёт IceWM - все настройки лежат в нескольких файлах, которые очень просто защитить от изменений.
На самом деле, можно вообще запретить юзеру делать конфиги, и тогда он будет использовать дефолтный, из /usr/share. Вроде все требования выполнены (кроме браузера и (авто)монтирования, ну с первым не знаю, а второе реализовано по умолчанию )

[Denjs]

предлагаю обсудить задачу защиты настроек

например, домашний каталог read-only. или перезаписываемый при логине.

более сложный вариант — пересборка нужных программ с удалением ненужных пунктов меню.

read-only? не уверен. Thunderbird точно придется перенастраивать - у него папки с письмами в домашнем каталоге по умолчанию.
Аналогично и с другими програмами. Некоторые ярлыки в XFCE совсем перестают работать)
(игрался с установкой невидимых каталогов и файлов в read-only через замену владельца. ПСПО5 который от ПингВина)

Пересборка вообще не вариант. Есть дистрибутив. готовый.
Остается перезаписываемый при логине или по команде с преподовательского копьютера домашний каталог.

Задания как сказано выше - можно сохранять в отдельном примонтированном каталоге.

В GNOME можно задавать для отдельных ключей GConf принудительные значения, менять которые пользователю не разрешается. В gconf-editor был пункт в контекстном меню, помнится.
В KDE, как уже упомянули, KIOSK. Документация: http://docs.kde.org/stable/ru/kdebase-runt...g-down-kde.html .

а вот в ПСПО5 - оболочка - XFCE4.
признаться мне достаточно очень нравится.
(Если бы не thunar, как я уже говорил который не умеет деревом каталоги и файлы показывать - я бы вообще сразу уже перелез на него с кде3.5, но это оффтопик).

И так - Автора завяки, предвариельно, устраивает перезапись домашнего каталога из архива по команде с учительского компа (см тут), или думаю, будет достаточно ярлыка на рабочем столе на соответсвующий скрипт.

[Denjs]

Ладно, с теорией думаю разобрались, направление решения думаю достойное.
Попробую зарезюмировать и предложить думать о практической стороне дела? :

Теперь для получения готового решения для любого дистрибутива нужно сделать как минимум 2 скрипта, лучше 3.
1) Создания архива домашнего каталога ( с учетом того, что единственную монтируемую папку копировать не надо + с запросом прав суперпользователя перед началом + с сохранением всех настроек прав для всех заархивированных файлов)
2) Восстановление архива домашнего каталога (аналогично с запросом прав перед восстановлением).
3) Монтирование рабочей папки ри запуске.
+ инструкция по установке.
___________________________
меня лично более всего интересует запрос прав суперпользователя при запуске скрипта. моя мысль пока двжется по направлении проверки не вляемся ли мы root - и если нет - то пробуем запустить себя-же через sudo.
или 2 скрипта - стартовый который всегда через sudo запускаеи второй - рабочий.
Но в этих случаях, запрос пароля виден только при запуске в консоли. При запуске в графике есть трудности))) Есть наиболее простое универсальное решение как делать sudo в графике?
____________________________
Вручную, подключение рабочего каталога можно выполнять с помощью программы Gigolo - в ПСПО5_легкий на рабочем столе (XFCE4) - это ярлык "мой компьютер".

Далее можеи обсудить вопрос организации подключения к _своей_ рабочей папке каждого ученика. Самый простой вариант, имхо, - общий каталог в котором подкаталоги описаны с правами просмотра и записи только у владельца.

[minoru-kun]

Может, собраться и написать небольшую программу, облегчающую выставление прав на папки в домашнем каталоге пользователя с базой популярного софта? По-моему учителям это действительно сбережет кучу времени и усилий, а задача довольно несложная.

Лично я это вижу так:

[DoctorORZ]

Здравствуйте.
Эвон сколько написали, хотя изначально прозвучало "А чего тут обсуждать?". А теперь и сами не знаете, что ответить. Про гнома и кде с IceWM разговариваете, хотя никто ж не знает, что у меня там Альт 4 стоит версии лайт. А потому что 1200 мегагерц и 128 мегабайт (из которых 8 - на видео). Какой там нафиг гном... (хотя, так расхвалили ПСПО5, что, сижу вот качаю, попробую на тестовую машинку поставить)
Теперь вспомним, что я никакой не линуксовый админ, а заместитель директора по ИКТ. Линукс официально изучал дистанционно. (все уже отсмеялись, как нам его преподавали? или напомнить). Так что везде до всего сам доходил. Сегодня вон опять буду внимать.
Так что если помочь действительно хотите-можете, то пожалуйста не просто ссылки и термины, а как можно подробнее. Тем более, автор топика действительно хочет помочь нам (школам). Со своей стороны могу направить своим коллегам из района приглашения на этот форум. Для начала можно будет посмотреть, сколько их сюда придет и какие вопросы будут задавать. Тогда станет видно, кто и в чем заинтересован.

Информацию по организации сети обсуждать будем тут или топик какой корректный подскажите?

Во, тема про такую утилитку учителям была бы кстати. Если ещё и описание грамотное к ней приделать (что и зачем нужно и какой будет результат)

[t.t]

Denjs, а не проще ли скрипт, которому нужны права рута, положить куда-нибудь вроде /usr/local/sbin и добавить преподавателю в sudoers? Или обязательно нужен ввод пароля? Если да, то см. gksu, kdesudo (могу напутать с названиями).

DoctorORZ, написали много, да не всё по теме. Фильтруйте. Если есть другие вопросы (не связанные напрямую с защитой от вандализма), задавайте отдельными темами.

[minoru-kun]

Во, тема про такую утилитку учителям была бы кстати. Если ещё и описание грамотное к ней приделать (что и зачем нужно и какой будет результат)

На днях попробую реализовать, следите за обновлениями в теме.

[MrClon]

Может это уже предлагали:
chmod -r 444 ~
chmod 664 ~
chmod -r 664 ~/dir1
chmod -r 664 ~/dir2
chmod -r 664 ~/dir3

Где dir{1-3} директории в которые таки-нужны права на запись (изменяемые конфиги, кеш и куки браузера, юзерские файлы и так далее).

Можно сделать скрипт и запустить его на каждом компе.

[DoctorORZ]

Так, давайте вот что обсудим решим. В винде изменять настройки настройки рабочего стола было нельзя, изменить расположение панелей, фоновых рисунков и прочее тоже. Нельзя, так как на это не было прав. Сейчас тут предлагается немного иное - восстановление того, что поломали. Моделирую ситуацию на уроке - под виндой ничего нельзя, поэтому ученики слушают учителя и работают. Под линуксом сломать можно, что и делают дети (убили панель-ярлыки-папки). Потом зовут Марьванну - а у меня не работает. Марьванна перелогинивается - всё на месте. Потом такая же проблема у другого. Потом у третьего. Урок сорван, объяснять некогда.
Нельзя ли сделать аналогично виндовой утилите. Не восстанавливать, а запрещать?

[t.t]

Это уже программо-специфично. Какое ПО используется?

[watashiwa_daredeska]

Нельзя ли сделать аналогично виндовой утилите. Не восстанавливать, а запрещать?

Нельзя. Т.е., конечно, возможно, что существует пара программ на весь мир, в которых можно, но вообще-то нельзя.

[MrClon]

Нельзя ли сделать аналогично виндовой утилите. Не восстанавливать, а запрещать?

Нельзя. Т.е., конечно, возможно, что существует пара программ на весь мир, в которых можно, но вообще-то нельзя.

А стандартные средства ограничения доступа к файлам уже отменили?
В конце концоа можно написать на питоне скрипт который будет показывать окошко с галочками и делать chmod на соответствующие файлы.

[watashiwa_daredeska]

А стандартные средства ограничения доступа к файлам уже отменили?

Скорее всего, настройки в программе изменить всё равно получится, и они будут действовать до перезапуска программы. Не перелогинивание, конечно, но и не запрет.

[MrClon]

Не факт, надо-бы проверить.

[Portnov]

Это, на самом деле, решается подбором ПО. Всякие гномы, кеды, хфце убираются, ставится что-нибудь типа icewm, в его конфиге отключается возможность менять тему из меню, конфигу делается chmod a-r. Файерфокс и thunderbird также убираются, ставится что-нибудь попроще, в котором никаких настроек просто нет (если не ошибаюсь, в epiphany нет настроек прокси — использует то что прописано в настройках гнома в gconf, и больше никак). Ну и т.д. И, действительно, гуглить по словам linux kiosk mode. Нагугливается, например, http://iportnov.blogspot.com/2008/01/linux-kiosk-mode.html.

[t.t]

Нельзя ли сделать аналогично виндовой утилите. Не восстанавливать, а запрещать?

Нельзя. Т.е., конечно, возможно, что существует пара программ на весь мир, в которых можно, но вообще-то нельзя.

Да ну? А программ, настраивающихся только через конфиги и без гуёвых утилит настройки сколько? А таких, у которых настройщик вынесен в отдельный исполняемый файл? Или кто-то мешает этот конфиг от записи заблокировать, или отдельный настройщик — от запуска?

[DoctorORZ]

Это уже программо-специфично. Какое ПО используется?

В смысле? Какой дистрибутив? Ну, скорее всего это будет что-то из Альта. Наверное ПСПО5 - сейчас поставил- понравилось.

[diesel]

Это уже программо-специфично. Какое ПО используется?

В смысле? Какой дистрибутив? Ну, скорее всего это будет что-то из Альта. Наверное ПСПО5 - сейчас поставил- понравилось.

нет, конкретные программы: менеджер окон, браузер, редактор, что там еще есть...

[Bizdelnick]

И как мы только на Win95 и DOS учились, интересно...
Что касается сети - лучше всё-таки по-человечески настроить прокси. Иначе всё равно найдутся лазейки типа альтернативных браузеров, wget и т.п. Даже если ученики их и не найдут, то прокуратура может.
Касательно настроек интерфейса - что там в этом Альте, LXDE? Xfce?

P.S. IMHO у хороших учителей уроки так по-дурацки не срывают.

[Voral]

А разве нельзя просто поставить для учеников на конфигурационные файл ридонли?

/me пошел скачивать комплект. Кто ставил сколько ему на винте выделить нужно. Что бы весь "популярный" в школе софт поставить из комплекта?

[t.t]

Это уже программо-специфично. Какое ПО используется?

В смысле? Какой дистрибутив? Ну, скорее всего это будет что-то из Альта. Наверное ПСПО5 - сейчас поставил- понравилось.

Нет. Какие именно программы, оконный менеджер (или «десктоп»)?

[Denjs]

Это уже программо-специфично. Какое ПО используется?

В смысле? Какой дистрибутив? Ну, скорее всего это будет что-то из Альта. Наверное ПСПО5 - сейчас поставил- понравилось.

Нет. Какие именно программы, оконный менеджер (или «десктоп»)?

Что имеем у ПСПО5легкий на борту:
XFCE4+Thunar
FireFox/Thunderbird/OpenOffice/GIMP/
более полный список ПО см. мой пост на форуме..

Я предлагаю ориентироваться на конкретные дистрибутивы и тот объем/набор ПО который идет в комплекте "по дефолту".
Для начала - как на самый последний (не более) ПСПО5 от PingWin.

Так просто будет легче отдавать пользователю описания и софт, если конечно последний мы сделаем ( вплоть до создания бинарных deb/rpm пакетов).

/me пошел скачивать комплект. Кто ставил сколько ему на винте выделить нужно. Что бы весь "популярный" в школе софт поставить из комплекта?

У меня сейчас динамически расширяемый образ диска для VirtualBox занимает 5 Гб. набор софта по дефолту.

А разве нельзя просто поставить для учеников на конфигурационные файл ридонли?

Да, наверное, но не только это.
Вторая половина дела - подправить эти самые конфигурационные файлы. Например FireFox настраивать так : http://tvxlc.livejournal.com/6943.html

На заметку minoru-kun - загинание галочки должно не только заблокировать конфиг файл, но и предложить/проверитНаличие соответствующих опций в конфигурационном файле. Сможете учесть такую возможность в архитектуре? по крайней мре на уровне интерфейса для подключения плагина или вызова скрипта. думаю мы сможем потом расширить/наполнить утилиту плагинами(информацией о конкретном ПО и настройках в их конфиг-файлах) под каждую конкретную программу.

[Poor Fred]

Я хочу блокировки изменения настроек браузера. С IE и стедистейд это работало на ура - у ученика просто не было прав на работу со свойствами обозревателя. Это нужно для того, что у меня пока не прозрачный прокси, а свой прокси. И если снять в браузере его настройки, то контентной фильтрации не будет.

Глупость какая. На прошлой работе у юзеров был доступ к настройкам браузера. Ну и что? Если они отключат в нем прокси или изменят - вообще никуда не попадут. Брандмауэр просто никого никуда не пускал. Прокси тоже не был прозрачным, т.к. нужна была авторизация.

[t.t]

Что имеем у ПСПО5легкий на борту:
XFCE4+Thunar
FireFox/Thunderbird/OpenOffice/GIMP/
более полный список ПО см. мой пост на форуме..

Да, как я и подозревал. Либо заменять часть ПО более «лёгким» и управляемым, либо «надо пилить». По-хорошему пилить должны производители «школьного линукса», т.к. функция востребована почти любой школой.