Смоленск 1.5 автозагрузка скрипта под конкретным пользователем

oko

New member
Сообщения
477
#21
to Montfer
Забавно, что ЗПС не включается. Недоработка, imho. Впрочем, реализация ЗПС идет через initrd и подгрузку модуля ядра с вызовом определенных параметров, так что понятно, почему так...

to DrageFabeldyr
Очистите /var/log/syslog и /var/log/messages (sudo /dev/null > путь-к-файлу-логов), перезагрузитесь, запустите в киоске свою программу и скиньте сюда оба файла. Поглядим...
К сожалению, SE 1.5 под рукой нет, поэтому не могу сказать, куда там киоск что пишет. Попробуем по системным логам посмотреть, авось найдется камень преткновения...
 

Montfer

New member
Сообщения
821
#22
to Montfer
Забавно, что ЗПС не включается. Недоработка, imho. Впрочем, реализация ЗПС идет через initrd и подгрузку модуля ядра с вызовом определенных параметров, так что понятно, почему так...

to DrageFabeldyr
Очистите /var/log/syslog и /var/log/messages (sudo /dev/null > путь-к-файлу-логов), перезагрузитесь, запустите в киоске свою программу и скиньте сюда оба файла. Поглядим...
К сожалению, SE 1.5 под рукой нет, поэтому не могу сказать, куда там киоск что пишет. Попробуем по системным логам посмотреть, авось найдется камень преткновения...
Не вижу недоработки. ЗПП после выполнения всех настроек должна включаться администратором безопасности. И только на том, конечном этапе, должны возникнуть проблемы с неподписанными прогами, но никак не на стадии тестирования или настройки ПО
 
Последнее редактирование:

oko

New member
Сообщения
477
#23
to Montfer
С одной стороны да, должны различаться технологический режим и эксплуатационный...
С другой стороны, Киоск - штука слишком конкретная - ограничение доступа юзера к однозначно сопоставленному перечню приложений. ЗПС вроде как более глобальная - недопущение исполнения любых бинарей. И вот тут имеется психологический нюанс для эксплуатанта: при отключенной ЗПС в режиме Киоска будут выполняться все предусмотренные Киоском приложения, включая порождаемые ими процессы и, следовательно, потенциально включая вновь внесенные самим юзером. А владелец "Киоск-mode" может об этом попросту забыть...
Иными словами, стоит дать юзеру в Киоске права на запуск того же firefox, и через контекстное меню браузера он сможет выполнить бинарь, принесенный, например, на съемном носителе. Аля платежный терминал под Windows, на котором в старые добрые крутили жесткое порево все кому не лень, ага...
Это все, конечно, лирика. Никто не спорит, что следует думать головой при настройке системы защиты, что Киоск - один из малых инструментов, что ЗПС может порождать проблемы и т.д. Но, imho, лучше бы Киоск по умолчанию включал ЗПС, если администратором не задано обратное...
 
Сообщения
21
#24
to DrageFabeldyr
Очистите /var/log/syslog и /var/log/messages (sudo /dev/null > путь-к-файлу-логов), перезагрузитесь, запустите в киоске свою программу и скиньте сюда оба файла. Поглядим...
К сожалению, SE 1.5 под рукой нет, поэтому не могу сказать, куда там киоск что пишет. Попробуем по системным логам посмотреть, авось найдется камень преткновения...
очень странно, но основному пользователю отказано в доступе,
Код:
d@astra:~$ sudo /dev/null > /var/log/syslog
bash: /var/log/syslog: Отказано в доступе

d@astra:~$ su
Пароль:
root@astra:/home/d# /dev/null > /var/log/syslog
bash: /dev/null: Отказано в доступе

root@astra:/home/d# chmod 666 /dev/null
root@astra:/home/d# /dev/null > /var/log/syslog
bash: /dev/null: Отказано в доступе

d@astra:~$ update /etc/wvdial.conf
bash: update: команда не найдена
upd: тех.поддержка говорит
Перед применением киоска Fly к пользователю, потребуется запуск программы, что бы позволить ей создать необходимые файлы перед включением ограничений.
создал нового пользователя для чистоты эксперимента, для начала без киоска, зашёл, программа не запускается, а при запуске скрипта, запускающего программу:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

[sudo] password for test:
test is not in the sudoers file. This incident will be reported.
видимо, надо что-то сделать с правами на программу или чтобы был определённый путь к ней?
 
Последнее редактирование:
Сообщения
21
#25
решилась задача!!
всё дело было как всегда в правах
под админом sudo chmod -R 777 /путь/к/программе
после этого на всякий случай зашёл под тестовым пользователем, запустил программу
после этого под админом настроил запуск в режиме киоска с программой
само расположение программы не принципиально, у меня она лежит в /opt/myprog/

всем спасибо за помощь
 

oko

New member
Сообщения
477
#26
to DrageFabeldyr
Хорошо, что все удалось, а то мы тут грешили на ЗПС, Киоск и проч, а дело было в правах :)
Сразу надо было выхлоп консоли при запуске показать. Отвыкайте от анализа ситуации по графическим действиям, переходите сразу в консоль - там информативнее...
И, кстати, "/dev/null > куда-либо" и для root будет писать "Отказано в доступе", это нормально. Только вот "chmod 666 /dev/null" было крайне зря, советую вернуть обратно...
 

carrot

New member
Сообщения
26
#28
Возможно, стоит просто сделать автозапуск программы, а потом блокировать всеми средствами ее закрытие?
В таком случае автозапуск будет проще сделать так:

~/.config/autostart/ содержит desktop файлы, которые можно дополнить. Они выполняются при запуске от конкретного пользователя, который указан выше по пути pwd: (/home/user1/.config/autostart/ /home/admin/.config/autostart/)
Создаете свой .desktop, у вас начинает автоматически стартовать программа

p.s. работаю под 1.6
 

oko

New member
Сообщения
477
#30
to DrageFabeldyr
Вне зависимости от "Отказано в доступе" файл будет очищен. /dev/null - поток, который выходит за границы файла, что логично в силу его непрерывности, в результате чего происходит указанное исключение. Но "пустота" вливается по адресу, так что не обращайте внимания...
И да, тов. Hokku San дело говорит: вместо sudo chmod -R 777 /путь/к/программе правильнее и безопаснее будет дать нужному пользователю права на ее исполнение (sudo chmod +x /путь/к/программе и sudo chown имя_пользователя /путь/к/программе). А остальным юзерам запретить доступ (sudo chmod 770 /путь/к/программе). Если же юзеров-эксплуатантов несколько, то логичнее их объединить в какую-нибудь новую группу и дать права на запуск программы именно этой группе, забрав права у остальных...
 
Сообщения
21
#31
Возможно, стоит просто сделать автозапуск программы, а потом блокировать всеми средствами ее закрытие?
я начинал так, но мне режим киоска кажется гораздо удобнее, потому что блокировка кучи сочетаний клавиш (alt+f4, alt+tab, esc, printscreen и т.д.) это более ёмкая работа и можно всего не учесть, на тот же принтскрин я наткнулся случайно нажав его
to DrageFabeldyr
Вне зависимости от "Отказано в доступе" файл будет очищен. /dev/null - поток, который выходит за границы файла, что логично в силу его непрерывности, в результате чего происходит указанное исключение. Но "пустота" вливается по адресу, так что не обращайте внимания...
И да, тов. Hokku San дело говорит: вместо sudo chmod -R 777 /путь/к/программе правильнее и безопаснее будет дать нужному пользователю права на ее исполнение (sudo chmod +x /путь/к/программе и sudo chown имя_пользователя /путь/к/программе). А остальным юзерам запретить доступ (sudo chmod 770 /путь/к/программе). Если же юзеров-эксплуатантов несколько, то логичнее их объединить в какую-нибудь новую группу и дать права на запуск программы именно этой группе, забрав права у остальных...
спасибо, буду знать
замечание учту