LXF157:Безопасность. Автоматический вход
|
|
|
Безопасность
Клонируйте домашнюю директорию при каждом входе
Автоматический вход
Как обеспечить автоматический вход в систему при загрузке компьютера, не ослабив его безопасность? Нейл Ботвик знает ответ.
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить
Большинство дистрибутивов и сред рабочего стола предоставляют средства для автоматического входа в систему от имени указанного пользователя при загрузке компьютера. Это достаточно безопасно, если компьютер находится в безопасном месте – например, у вас дома; но не так уж и полезно, если к нему может подойти кто угодно. Однако если вы хотите настроить компьютер для общего пользования, автоматический вход в систему – именно то, что вам нужно. Как его предоставить и при этом не дать случайному прохожему с чуть более чем обычным знанием Linux шанса злоумышленного использования системы?
Один из вариантов – очищать и перезагрузить домашнюю директорию при перезагрузке, перезагружая при необходимости компьютер после каждого пользователя; именно так предложил нам решить эту проблему один из участников нашего форума. Вот что вам надо сделать: создать две учетных записи пользователя, настроить первую по своему усмотрению, а вторую отдать пользователю с автоматическим входом в систему. Затем запустите из /etc/rc.local (или его эквивалента в вашем дистрибутиве) скрипт
#!/bin/sh rsync -a --delete /home/default/ /home/user/ chown -R user: /home/user
Если ваш компьютер использует sudo, не создавайте своего первого пользователя как guest: тогда он получит права sudo, которые отнюдь не следует давать случайным людям. При таком подходе сразу возникает ряд вопросов по обеспечению безопасности системы. Вам не нужно, чтобы пользователь мог выйти из системы: это предоставит ему попытку войти снова от имени другого пользователя. Вы также должны позаботиться, чтобы выйти из рабочего стола нельзя было ни по Ctrl+Alt+F1, ни по Ctrl+Alt+Backspace. И еще надо ограничить для этого пользователя опции меню – в частности, никаких ему административных функций.
Однако есть еще один, знакомый вам подход: использовать для системы среду live CD. Она будет делать то, что вам нужно, по умолчанию, и автоматически пускать пользователя на рабочий стол со стандартным набором настроек по умолчанию. Вам нужно только подправить эти настройки (начать хорошо бы с удаления опции установки системы на жесткий диск) и перекомпилировать ваш CD.
В этом пункте вы можете забеспокоиться по поводу использования CD. Если компьютер можно загрузить с CD, что помешает злодею подменить CD и загружаться с чего-то понахальнее? Оптические носители также ограничивают производительность. Если вам случалось использовать live CD, вы знаете, насколько он медленнее системы на жестком диске, в частности, при загрузке.
С обеими проблемами справиться легко. На Live CD находятся всего три файла: ядро, начальный ramdisk и образ корневой файловой системы root filesystem (и, конечно, bootloader, чтобы все это загрузить). Нигде не сказано, что эти файлы обязаны жить на CD или DVD: они с тем же успехом могут сидеть и на жестком диске. Это сделает систему безопасной, поскольку root filesystem предназначена только для чтения [read-only], почти такой же быстрой, как стандартная установка на жесткий диск, и при перезагрузке все настройки будут сбрасываться в значения по умолчанию.
Как же создать такую систему? Первый шаг – установить ваш любимый дистрибутив на жесткий диск. Не обязательно делать это на том компьютере, где будет работать окончательная система. Мы для этого упражнения использовали Mint 12, отчасти потому, что это – отличный дистрибутив, а отчасти потому, что нас попросили об этом на форуме.
Первый шаг – установить Remastersys, сначала добавив его исходник в репозитории командой в терминале
echo “deb http://www.geekconnection.org/remastersys/repository lucid/” | sudo tee -a /etc/apt/sources.list.d/remastersys.list
Затем вы сможете установить программу через Synaptic. Вы увидите предупреждение, что программа не может быть аутентифицирована. Это нормально, потому что вы не добавили в репозиторий ключ GPG. Между прочим, мы использовали Remastersys для создания версии Ubuntu 11.10 с Gnome 3 на LXFDVD155. Если у вас не Debian-подобный дистрибутив, пакеты и исходник имеются на http://www.geekconnection.org/remastersys.
Следующий шаг – должная настройка системы. Создайте отдельного пользователя для автоматического входа в систему:
sudo useradd -m kiosk
sudo passwd kiosk
Войдите в систему от имени этого пользователя и настройте рабочий стол. Эти настройки будут применены в финальном образе. Теперь отредактируйте /etc/lightdm/lightdm.conf, установите autologin-guest в true и закомментируйте запись auto-login-user. Эти действия вызовут загрузку для пользователя guest прямо на рабочий стол, с установками, унаследованными от /etc/skel, и чистой домашней директорией. Нам нужно подправить настройки bootloader, чтобы никто не смог перехитрить вашу систему безопасности, например, загрузившись в режиме Single User. Отредактируйте /etc/grub.d/40_custom, добавив две строки:
set superusers=”fred”
password fred barney
Это добавит пользователя и даст ему пароль. В отсутствие других директив это означает, что если вы попытаетесь отредактировать запись в меню или использовать оболочку Grub, вам понадобится это имя и пароль. Вы также можете защитить паролем отдельные записи в меню в Grub, приписав
--users username
в их разделы menuentry. Возможно, вы также захотите отредактировать /etc/default/grub, уменьшив величины GRUB_HIDDEN_TIMEOUT и GRUB_TIMEOUT – пары секунд вполне хватит. Затем запустите update-grub, чтобы применить новые установки.
Запуск Remastersys
Теперь запустите Remastersys через меню Applications > Other или remastersys-gtk из терминала. Вы можете настроить некоторые опции во вкладке Settings; обычно настройки по умолчанию вполне нормальные, но можно отключить опцию размещения значка установки на рабочем столе или включить список разделенных пробелом файлов, которые вы хотите убрать из финального образа. Возможно, вы решите исключить такие вещи, как Synaptic,или какие-то программы терминала.
Во вкладке Action выберите пользователя, которого вы настраиваете, kiosk, как описано выше, чтобы применились его настройки, затем щелкните по Distcdfs, который создает файлы live CD, но не пишет их в файл ISO. Желая проверить запуск в виртуальной машине, тоже используйте опцию Dist для создания ISO.
Теперь у вас есть рабочий live CD, автоматически перенастраивающий все при перезагрузке, не давая пользователю навредить системе; заставим его загружаться с жесткого диска. Лучше использовать для этого отдельный диск – большой объем тут не требуется. Настройте раздел, и, возможно, небольшой раздел подкачки swap, и установите на диск Grub командами
mkdir -p /mnt/kiosk/boot/grub
grub-install --boot-directory=/mnt/kiosk/boot
предполагая, что вы подмонтировали раздел root на /mnt/kiosk. Remastersys сохранил файлы CD в /home/remastersys/remastersys/ISOTMP. Скопируйте или переместите директорию casper отсюда в /mnt/kiosk и добавьте в /etc/grub.d/40_custom, после строк пароля
menuentry “Kiosk” {
set root=’(hd0,msdos1)’
linux /casper/vmlinuz boot=casper quiet splash --
initrd /casper/initrd.gz
}
Настройки root здесь для первого раздела на первом диске – укажите их в соответствии со своей раскладкой. Здесь взяты те же опции, что и в файле isolinux.cfg для CD. Добавьте это в /etc/default/grub – новая запись станет параметром по умолчанию.
GRUB_DEFAULT=”Kiosk”
grub-mkconfig -o /mnt/kiosk/boot/grub/grub.cfg
пишет файл меню Grub в нужное место на жестком диске (update-grub – это просто скрипт, который запускает grub-mkconfig). Теперь удалите в /mnt/boot/grub/grub.cfg раздел 10_linux и строку, начинающуюся с
search --no-floppy --fs-uuid --set=root
Перезагрузитесь с этого диска, чтобы запустить свою защищенную от вторжения установку для киоска. Зайдите также в настройки BIOS, чтобы отключить загрузку с USB или оптических дисков и задать пароль для дальнейшей правки настроек BIOS. |
- Метамодернизм в позднем творчестве В.Г. Сорокина
- ЛитРПГ - последняя отрыжка постмодерна
- "Ричард III и семиотика"
- 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
- Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
- Литература
- Метамодерн
- Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
- Как избавиться от комаров? Лучшие типы ловушек.
- Что делать если роблокс вылетает на windows
- Что делать, если ребенок смотрит порно?
- Почему собака прыгает на людей при встрече?
- Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
- О чем может рассказать хвост вашей кошки?
- Верветки
- Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
- Срок исковой давности как правильно рассчитать
- Дмитрий Патрушев минсельхоз будет ли преемником Путина
- Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
- Как правильно выбрать машинное масло в Димитровграде?
- Как стать богатым и знаменитым в России?
- Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
- Как стать мудрецом?
- Как правильно установить FreeBSD
- Как стать таким как Путин?
- Где лучше жить - в Димитровграде или в Ульяновске?
- Почему город Димитровград так называется?
- Что такое метамодерн?
- ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
- Тарифы на электроэнергию для майнеров предложено повысить