LinuxMint.com.ru

Hello wor... эээ... приветствую, уважаемые форумчане =)

Совсем недавно столкнулся с необходимостью пересадить 47 юзеров на Linux, выбор пал на Mint.
Сразу возник вопрос: как обезопасить пользователей от их собственной бестолковости?

Прежде всего, хотелось бы заблокировать возможность отключать/перенастраивать сетевое соединение.
Дальше идут всякие мелочи типа запрета на изменение настроек интерфейса: экранного разрешения, удаление панелей.

Мои жалкие попытки осуществить это с помощью kuser, манипулируя присвоеним групп, закономерно провалились.
Подозреваю, впрочем, что данный инструмент не предназначен для выполнения подобных задач.

Можно ли осуществить задуманое, лишив пользователей доступа к некоторым элементам интерфейса?
Существует ли какие-либо наработки в данном направлении, возможно, кто-то уже задавался этим вопросом?

Заранее благодарю за помощь!

LinuNoob, а не проще обучить пользователей азам работы в данной ОС? Ведь в перечисленном отличий от мастдая мало. Сеть править юзер не может без привелегированного доступа. Панель удалить - сам виноват. От кривых рук защитит только ликбез.

LinuNoob писал(а): хотелось бы заблокировать возможность отключать/перенастраивать сетевое соединение.

Убить апплет nm, например

LinuNoob писал(а): Дальше идут всякие мелочи типа запрета на изменение настроек интерфейса: экранного разрешения, удаление панелей.

В виндах же они могут делать то же самое, не?

В принципе запуск графических утилит настроек можно обрубить всем, кроме рута (или другого админюзера)

LinuNoob писал(а):манипулируя присвоеним групп

по-моему - только так, если без стороннего ПО ...

Dja писал(а): не проще обучить пользователей азам работы в данной ОС

Дело в том, что это чёртова молодёжная организация, и чем большему одмен их научит, тем хуже будет одмену =)

Dja писал(а): Сеть править юзер не может без привелегированного доступа

Увы мне, свежесозданный юзер не состоящий ни в каких группах кроме имени себя самого вполне способен на отключение проводного соединения: http://i.imgur.com/F4UVX4D.jpg

user@VMtools ~ $ whoami
user
user@VMtools ~ $ id user
uid=1001(user) gid=1001(user) группы=1001(user),115(nopasswdlogin)

Менять настройку протоколов он действительно не может, но ввиду возможности отключиццо это не сильно радует.

Chocobo писал(а): В виндах же они могут делать то же самое, не?

Неа, в виндах с дефолтными правами юзера соединение не отключить.
А тут получается, что если он тыцкнул мышкой - к машине даже удалённо не доступиться.

Chocobo писал(а): Убить апплет nm, например

Пробовал найти как именно это сделать, добрался до остановки и удаления сетевой службы через systemctl
Единственное чего достиг - апплет в систем трее исчезает, но DHCP не работает, а оно необходимо =(

Если есть способ убить апплет отдельно - поделитесь, я задолбался искать =)

LinuNoob писал(а): Дальше идут всякие мелочи типа запрета на изменение настроек интерфейса: экранного разрешения, удаление панелей.

Можно самому сконфигурировать панель типа lemonbar, понатыкав только нужные "рюшечки" и ссылки на программы. Все остальное отключить. Ну и wicd сконфигурировать без гуй вместо nm.

LinuNoob, Сеть как устроена? если локалка с dhcp - вовсе убить NM, в пользу разовой настройки через interfaces или systemd-networkd (там пара строк конфига), никаких графических утилит для настройки сети в этом случае не будет.
И раз уж хочется обрубить по всем фронтам - можно и терминал не разрешать к запуску.

Chocobo писал(а): Сеть как устроена? если локалка с dhcp

Именно так, монсеньёр, именно так =)

Chocobo писал(а): вовсе убить NM)

Во, это другое дело, обожаю убивать, поехали:

1. Останавливаю службу нетворк-менеджер: sudo systemctl stop network-manager.service
2. Выкидываю данную службу из автозапуска: sudo systemctl disable network-manager.service
3. Ребут, иконка апплета в "систем трее" отсутствует, вручную запустить низя: http://i.imgur.com/9Ywc4AK.jpg

Chocobo писал(а): в пользу разовой настройки через interfaces или systemd-networkd (там пара строк конфига)

Подскажите пожалуйста, что и чем примерно прописать этот конфиг, чтоб включившаяся машинка автоматом получала адрес с DHCP, я пока попробую нагуглить синтаксис самостоятельно, сильно путаюсь с непривычки.

Chocobo писал(а): никаких графических утилит для настройки сети в этом случае не будет

В дальнейшем я бы не отказался от графической утилитки, которую можно было бы запустить только через sudo =)

Chocobo писал(а): И раз уж хочется обрубить по всем фронтам - можно и терминал не разрешать к запуску

С огромной благодарностью приму любые рекомендации в этом направлении.
Вы ж знаете какие у нас юзеры - без обсуждаемой здесь циркумцизии никак не обойтись, всё ломают >:E

Спасибо!

LinuNoob писал(а): что и чем примерно прописать этот конфиг, чтоб включившаяся машинка автоматом получала адрес с DHCP,

Либо в /etc/network/interfaces в виде

Код: Выделить всё

auto enp1s0
iface enp1s0 inet dhcp

И будет управляться через networking.service

Или же в /etc/systemd/network/ethernet.network

Код: Выделить всё

[Match]
Name=enp1s0

[Network]
DHCP=ipv4
DNS=8.8.8.8

И задействовать systemd-networkd.service
Я предпочитаю второй вариант) Имена интерфейсов разумеется будут свои.

LinuNoob писал(а): В дальнейшем я бы не отказался от графической утилитки, которую можно было бы запустить только через sudo =)

Взгляни на конфиг в обоих случаях - что тут администрировать графикой?

LinuNoob писал(а): - без обсуждаемой здесь циркумцизии никак не обойтись,

Код: Выделить всё

chocobo@sonya-desktop ~ $ ls -l /usr/bin/gnome-terminal
-rwxr-xr-x 1 root root 3368 ноя 21  2016 /usr/bin/gnome-terminal

для начала достаточно оставить rwxr-xr-- (754) - и любой юзер не входящий в группу root теряет возможность запуска этой программы

Chocobo писал(а): Либо в /etc/network/interfaces

Глянул имя интерфейса (нагуглил как посмотреть, хехе):
ifconfig -a

Остановил и запретил к автозапуску NM:
sudo systemctl stop network-manager.service
sudo systemctl disable network-manager.service

Прописал в /etc/network/interfaces:

auto %interfacename%
iface %interfacename% inet dhcp

Всё работает, спасибо, есть один вопрос: насколько я понимаю, если изменится имя интерфейса (я размножаю машинки клонированием диска, конфигурация железа разная), то сделаная мной до размножения настройка перестанет работать.

На данный момент ковыряю доку по systemd-networkd: http://rus-linux.net/MyLDP/admin/switch ... workd.html
Эта служба позволяет вешать DHCP на любой найденный в системе интерфейс, есть смысл возиться? =)

Ещё раз спасибо за ответы!

LinuNoob писал(а): (я размножаю машинки клонированием диска, конфигурация железа разная), то сделаная мной до размножения настройка перестанет работать.

Если железо разное, то бессмысленно клонировать. А имена проводных итерфейсов на десктопах на впаянных чипах могут быть одинаковыми при отсутствии дискретных сетевушек.

Unborn писал(а): Если железо разное, то бессмысленно клонировать.

Серьёзно? Почему? Там у пользователя просто настроек пачка: прокся в браузере, редакторы и прочая фигня.
У меня на довольно-таки разных машинках прекрасно пашет клонированный Минт, никаких глюков не наблюдаю.

Может, есть какие-то подводные камни, о которых я просто не знаю?

Если будешь клонировать без особых изменений по околоядерному и дровам - то будут заводиьтся на вполне себе разном зоопарке по железу, как и исходный образ. Там есть запас на различное оборудование.

В продолжение данной темы: не знает ли кто, где цинамон хранит настройки оформления/панелек?

Самым распространённым траблом (помимо самоотключения от сети) является удаление панелек (ярлыки рид-онли сделаю)
Быть может, будет достаточно кинуть на десктоп ярлык "вернуть интерфейс" и дать там команду на копирование файла настроек... хм... или сам этот файл настроек сделать рид-онли? =))

Код: Выделить всё

sudo apt remove nm-applet

в xfce
возможно в пресловутой корице так же

LinuNoob писал(а): где цинамон хранит настройки оформления/панелек?

как и любое другое DE в /home/user/

LinuNoob писал(а): удаление панелек

консоль - ctrl+alt+t там команда запуска настроек. В настройки заходим в панель. Добавляем панель. на нее нужные апплеты и всякую остальную шляпу.

Dja, не, в корице приколочен, удалять проблематично

Код: Выделить всё

chocobo@sonya-desktop ~ $ apt remove network-manager-gnome 
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Пакеты, которые будут УДАЛЕНЫ:
  cinnamon mint-meta-cinnamon network-manager-gnome
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 3 пакетов, и 12 пакетов не обновлено.

Вот тут внизу, как-то описывал в прошлых версиях.

LinuNoob писал(а): где цинамон хранит настройки оформления/панелек?

Большинство конфигураций в пользовательском dconf, если интересует какие-то конкретные - рассказывай)

Chocobo писал(а): Вот тут внизу, как-то описывал в прошлых версиях.

Ага, отписался по вашей ссылке, пофиксили мальца апплет уже этот наглый.

systemd-networkd инструмент, конечно, продвинутый, но можно ли настроить его так, чтоб он автоматом включал DHCP на всех доступных интерфейсах, как бы они там не назывались? Прошу извинить за занудство =)

Chocobo писал(а): интересует какие-то конкретные - рассказывай

Конкретно интересует чтоб юзер не мог панельку основную (та, которая внизу) удалить, или чтоб она каждый раз после ребута возвращалась в исходное состояние.
В принципе всё, если подскажите, какие права ткнуть на ярлычки рабочего стола, чтоб хозяин этого стола не мог их удалить - буду крайне признателен, а то запуталсо уже - 757, 775... )))

Спасибо за ваши ответы!

LinuNoob,

Chocobo писал(а): в корице приколочен

так может повод рассмотреть вариант xfce?

Chocobo писал(а): если интересует какие-то конкретные - рассказывай

Эх, придётся таки апнуть трид...

Ситуация: пользователь "ничайно" удаляет панель, ему однократно задают вопрос: "Открыть настройки панели?"
Он, гад такой, отвечает отрицательно, после чего добраться до настроек панели не может.
Написать в консоли cinnamon-settings способны, к сожалению, не только лишь все (((

Может, со времени создания данного топика появились какие-либо соображения, как запретить юзерам уродовать интерфейс или сделать текущие настройки рид-онли, чтоб хоть после перезагрузки всё возвращалось взад?

Спасибо за ваши советы, это правда важно для меня по работе, не забавы ради дурью маюсь, если что.

LinuNoob, создаем скрипт, удаляющий в хомяке пользователя всё с точки. Прописываем в rc.local от рута. Либо с юнитами разбирайтесь от systemd. В любом случае скрипт будет срабатывать до автологина и пользователь будет попадать в дефолтный интерфейс
Либо чтоб уменьшить потери - прописать в удаление только ту область, которая затрагивает панель.

LinuxMint.com.ru

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)

Редактор интерфейса для Cinnamon (LM 18.2 x64)