Nezničitelný desktop

Návod je na smetišti! Znamená to, že je zastaralý, a může být více ke škodě než k užitku. Pokud máte zájem, můžete se ho ujmout a přepsat ho do aktuální platné podoby.

Následující článek vás seznámí s možností, jak vytvořit nezničitelné prostředí, které se po odhlášení uživatele opět uvede do původního stavu. Vhodné pro školy, internetové kavárny a podobná zařízení.

Tento návod vznikl na základě potřeby jedné školy, kde je několik PC „volně“ přístupných pro studenty a bylo možno jedno PC využít k nenásilné propagaci a seznámení studentů s GNU/Linuxem. Bylo potřeba, vzhledem k filozofii a velké konfigurovatelnosti pracovního prostředí zajistit, aby byl počítač přístupný každému bez potřeby uživatelského jména a hesla, odolný vůči potencionálním „škodičům“ se samoobnovitelným desktopem. Pomocí tohoto návodu zajistíte, že zapnete počítač, ten se sám přihlásí do společného uživatelského účtu ve kterém budou moci uživatelé (v rámci přístupových práv účtu) volně pracovat, ale v okamžiku, kdy počítač restartujete, nebo se uživatel odhlásí a znovu přihlásí, bude nastavení pracovní plochy a všech aplikací uvedené zpět do původního stavu, v jakém bylo před spuštěním.

Návod je určen pro Ubuntu, Edubuntu, Xubuntu bez rozdílu verzí. Nebo i všude tam, kde se používá gdm a zavaděč GRUB.

Před pokračováním nezapomeňte nainstalovat všechny balíky/programy, které se budou na PC provozovat. Zvažte také možnost vypnutí automatického stahování a instalace aktualizací, pokud jste si jej nastavili (standardně vypnuto). Provoz PC bude prakticky bezobslužný.

Vytvoření společného uživatelského účtu

Vytvořte nový uživatelský účet, který bude „sdílený“ pro všechny uživatele, kteří budou s počítačem pracovat.

Pro tento návod je to účet s vzorovým názvem „sdileny

V konzoli napište:

sudo adduser sdileny

Vzhledem k tomu, že účet bude společný pro všechny, je celkem nepodstatné, jaké heslo zvolíte. Uživatelé ho stejně nebudou znát a ani potřebovat. Zvolte třeba 12345.

Heslo pro váš skutečný (správcovský) účet mějte nastaveno samozřejmě silné!

Konfigurace pracovního prostředí

Přihlaste se do nově vytvořeného účtu.

Postupně nastavte VŠECHNY parametry pracovního prostředí tak, jak je chcete mít. Namátkou: pozadí plochy, rozlišení monitoru, téma vzhledu, rozmístění a stav panelů, applety, ap. Nezapomeňte také na aplikace. Každou spusťte a v menu Nastavení, Konfigurace, Settings, ap. nastavte dle svého gusta a zavřete. Zejména Firefox, OpenOffice.org, ale také třeba .bashrc, či .vimrc.

Na tomto kroku si dejte skutečně záležet a nic neopomeňte.

Přihlaste se do nově vytvořeného účtu. Spusťte gconf-editor a v sekci /apps/gnome-power-manager/general/ odškrtněte položky can_hibernate a can_suspend. Dále v sekci /desktop/gnome/lockdown/ zaškrtněte položky disable_lock_screen a disable_user_switching. Volitelně můžete zaškrtnou ještě položku disable_command_line. Tímto nastavením zakážete okno spuštění aplikací pomocí klávesové zkratky Alt+F2.

K dalším (restriktivním) nastavením lze použít programy pessulus (standardní balík v repozitáři) a ubuntu-tweak.

Záloha profilu

Odhlaste se ze sdíleného účtu a přihlaste do svého správcovského účtu. V konzoli spusťte:

sudo tar -cvf sdileny.tar /home/sdileny
sudo mv -f sdileny.tar /

Editujte soubor /etc/gdm/PostSession/Default:

gksudo gedit /etc/gdm/PostSession/Default

a před řádek exit 0 vložte

rm -rf /home/sdileny
tar -xf /sdileny.tar -C /

Soubor uložte a zavřete.

Tímto krokem jste vytvořili zálohu celého adresáře /home/sdileny. Ten se automaticky při každém odhlášení nebo restartu celý smaže a nahradí uloženou zálohou.

Nastavení automatického přihlášení

Jelikož se používá pouze jeden (sdílený) účet, je vhodné nastavit (místo papírku s heslem přilepeným na monitoru) automatické přihlašování.

V menu Systém → Správa → Přihlašovací okno zaškrtněte na kartě Zabezpečení položky Povolit automatické přihlášení a Povolit časové přihlášení. Volitelně můžete upravit pauzu před přihlášením.

Další úpravy a nastavení

Další úpravy jsou nepovinné, pouze doporučené. Zajistíte tím zvýšení bezpečnosti před potencionálními „útočníky“ a „hackery amatéry“, kteří se byť jen z recese budou snažit proniknout do systému. Nejde ani tak o citlivá data, ty v PC stejně nejsou, ale ušetříte si tím práci s případnou reinstalací a nastavením poškozeného systému.

V konzoli napište:

chmod 700 /home/vas_adresar

vas_adresar je adresář, ve kterém máte váš vlastní (správcovský) účet.

V konzoli napište:

sudo chmod 600 /boot/grub/menu.lst

Pro větší bezpečnost nastavte heslo u položek „Recovery mode“ a „Memtest“. To se samozřejmě musí nejprve zašifrovat. V konzoli napište

grub

Spustí se editor grubu. Do řádku za grub> napište md5crypt a ENTER. Napište své heslo, které si přejete zašifrovat a opět stiskněte ENTER. Vzniklý řetězec si pečlivě opište a editor ukončete stiskem Ctrl-C.

Na obrázku níže je ukázka zašifrovaného hesla 12345

Nyní zazálohujte a editujte soubor /boot/grub/menu.lst:

sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_zaloha
gksudo gedit /boot/grub/menu.lst

V něm odkomentujte (smažte úvodní #) řádek

password --md5 $.................../

a místo vzorového řetězce napište váš vygenerovaný.

Nyní již stačí ke všem položkám, které chcete zpřístupnit až po vložení hesla napsat pod řádek title slovo lock.

Pozdější úprava profilu

Někdy později se může stát, že budete chtít společný účet překonfigurovat. Postupujte následovně:

0. Přihlaste se do svého správcovského účtu

0. Editujte soubor /etc/gdm/PostSession/Default, kde takto zakomentujte řádky:

#rm -rf /home/sdileny
#tar -xf /sdileny.tar -C /

0. Přihlaste se do společného účtu a proveďte nastavení jaké požadujete

0. Dále opakujte odstavec Záloha profilu

Odkazy