[valux-list] ¿Qué os gustaría ver en un cursillo?

[Pablo Iranzo Gómez]

Hola

Yo tengo montado algo parecido usando permisos específicos para los ficheros
(en general cambiar el usuario y el grupo) aparte de utilizar bloqueos a
nivel de librerías para interceptar llamadas a disco, pero es algo incómodo
por tener que definir para cada programa que directorios bloquear o
permitir, lo bueno es que permite un bloqueo rápido que combinado con alguna
otra utilidad como xbindkeys permiten crear 'kioskos' de forma relativamente
sencilla, no obstante, SELinux tiene alguna ventaja:

http://danwalsh.livejournal.com/14778.html

http://james-morris.livejournal.com/25640.html

http://danwalsh.livejournal.com/13376.html?thread=107840

Sobretodo facilidad ;-) porque viene preparado con el sistema

Hace años utilicé algo parecido al método del tgz, la verdad es que el
apunte para integrarlo con gdm está muy bien, yo hacía uso de un sistema
central con unas carpetas compartidas por nfs desde las que hacía un rsync
contra el sistema local a cada arranque.

De la parte de gnome se puede hacer uso de algunas opciones para limitar el
entorno, usando las opciones por defecto del sistema, y en kde por lo visto
está más avanzado el tema y hay mucha más documentación para hacer
'kioskos'. Tengo algún enlace colgado en
http://del.icio.us/iranzo/lockdownpor si a alguien le fuera de
utilidad, y a un amigo pendiente de un proyecto
en su trabajo para montar kioskos de servicio que quizás podría aportar algo
cuando lo acabe ¿verdad Alberto? ;-)

Saludos
Pablo

Pablo Iranzo Gómez
(http://Alufis35.uv.es/~iranzo/)
(PGPKey Available on http://www.uv.es/~iranzop/PGPKey.pgp)
--
Postulado de Boling sobre la Ley de Murphy:

Si se encuentra bien, no se preocupe. Se le pasará

On Sun, Jul 6, 2008 at 11:49 PM, S.Gellida <sgellida en gmail.com> wrote:

> En/na Pablo Iranzo Gómez ha escrit:
>
>> Congelar equipos te refieres a crear entornos stateless para que aunque el
>> usuario cambie algo, se desechen? ¿tipo el usuario xguest en Fedora con
>> SELinux?
>>
>> Saludos
>> Pablo
>>
> Si.
>
>
> Por ejemplo, aqui te pongo dos scripts que encontré en su dia por listas
> /internet:
>
>
> ejemplo1: extraido de elistas.net    linuxcentres
> ******************************
>
> Hola
>
> Vaig escriure ja fa temps un script que congelaba l'usuari "user"
> Es deia "hielo.sh", i s'havía de posar al directori /etc/init.d/
>
> Quan estigui l'usuari "user" totalment configurat, fer des de root:
> # /etc/init.d/hielo.sh copiaseg
> Al reiniciar, l'usuari "user" tornarà a quedar com estaba.
>
> Espero que et sigui útil.
>
> Carles Bataller
>
>
>
> ################################## INICI script /etc/init.d/hielo.sh
>
> #!/bin/sh
>
> # description: script hielo.sh congela un usuari
>
> ## INICI configuració ##
>
> usuari="/home/user"
>
> tgz="/root/user.tgz"
>
> ## FI configuració ##
>
> retval=0
>
> case "$1" in
>
> 'start')
>
>  # hielo: restaurant usuari...
>
>  if [ $test -e "$tgz" ]; then
>
>     echo "S0: restaurant $usuari ..."
>
>     rm -f -R $usuari
>
>     tar -Pxzf $tgz
>
>     retval=$?
>
>     # netejant /var/spool/cups (borrant treballs vells d'impressió)
>
>     if [ $test -d "/var/spool/cups" ]; then
>
>         rm -r /var/spool/cups/tmp/*
>
>         rm -r /var/spool/cups/*
>
>         mkdir /var/spool/cups/tmp
>
>         chown root:sys /var/spool/cups/tmp
>
>         chmod 1770 /var/spool/cups/tmp
>
>     fi
>
>  else
>
>     echo "$0: No s'ha trovat $tgz"
>
>     retval=1
>
>  fi
>
>  ;;
>
> 'stop')
>
>  echo "$0: l'script hielo no es un daemon."
>
>  retval=0
>
>  ;;
>
> 'copiaseg')
>
>  echo "Fent copia de seguretat de $usuari a $tgz ..."
>
>  if [ $test -d "$usuari" ]; then
>
>     if [ $test -e "$tgz" ]; then
>
>         rm -f $tgz
>
>     fi
>
>     tar -Pcvzf $tgz $usuari
>
>     retval=$?
>
>  else
>
>     echo "$0: No s'ha trovat $usuari al sistema"
>
>     retval=1
>
>  fi
>
>  ;;
>
> *)
>
>  echo "Utilització $0  { start | stop | copiaseg }"
>
>  ;;
>
>
>
> esac
>
> exit $retval
>
>
> ################################## FI script /etc/init.d/hielo.sh
>
> ******************************
>
>
> ejemplo2: extraido de http://www.gnuinos.com
>
> Un usuari només pot accedir a alló que li donem permís, però, com podem
> evitar que l'usuari modifiqui la seva carpeta /home/?
>
> Això és molt útil en escoles, cibers, feries, on no volem desar els
> canvis realitzats per un usuari. Naturalment, aquest usuaris hauran de
> desar els seus documents a una unitat extraible o accesible per la xarxa.
>
>   * En el nostre cas crearem un usuari anomenat *visita* amb
>     contrasenya *visita*, i l'afegim als grups /audio/, /cdrom/ ...
>     com hem vist anteriorment.
>   * Entrem com a tal usuari a l'entorn gràfic i configurem alló que
>     ens interessi (dreceres, favorits ...) i tanquem la sessió
>   * Ara com a *root* a una consola fem
>
>     tar -zcPf /home/visita.tgz /home/visita
>
>   * Anem a la carpeta //etc/gdm/PostLogin/ i copiem l'arxiu
>     /Default.sample/ amb el nom /Default/ a la mateixa carpeta,
>     canviant el seu contingut per:
>
>     #!/bin/sh
>
>     if [ "$USER" = "visita" ]; then
>
>      rm -R /home/visita
>
>      tar -zxPf /home/visita.tgz
>
>     fi
>
> Ara cada vegada que l'usuari *visita* entri a l'entorn gràfic la seva
> carpeta /home/ serà esborrada i regenerada a partir de
> //home/visita.tgz/. Aquest perfil sempre el podrem actualitzar obrint
> una sessió grafica en la que fem els canvis adients i, després de
> tancar-la , executant com a *root*
>
> tar -zcPf /home/visita.tgz /home/visita
>
>
>
>
> _______________________________________________
> Valux-list mailing list
> Valux-list en lists.valux.org
> http://lists.valux.org/listinfo.cgi/valux-list-valux.org
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.valux.org/pipermail/valux-list-valux.org/attachments/20080707/384153e5/attachment.htm>