Securizar entorno gráfico

Imagen de Sethweb
0 puntos

Hola,

No llevo mucho tiempo con linux y necesito que me echéis una mano, os comento mi caso.

Necesito crear en un equipo con Ubuntu 9.10 un usuario (usuario1) sin privilegios de administrador para ejecutar una única aplicación web. Este usuario no debe poder ejecutar más que dicha aplicación y debe serle transparente el resto del entorno gráfico, aplicaciones y herramientas del sistema para evitar el uso del equipo para cualquier otra función que no sea la establecida. Este usuario tendrá los conocimientos mínimos de informática.

La administración y configuración del equipo se realizará desde el usuario root.

Por ahora esto es lo que he hecho:

- Desactivar gnome-panel (panel superior).
Se desactiva gnome-panel desde gconf-editor para evitar que el usuario acceda a cualquier aplicación o herramienta del sistema. Al desactivar gnome-panel también se deshabilita la combinación de teclas Alt+F2 para ejecutar aplicaciones, como por ejemplo el terminal.

- Quitar los privilegios de usuario de "Administrar el sistema" y "Monitorizar los registros del sistema".
Desde "Sistema>Administración>Usuario" y grupos, en Propiedades. Se quitan estos privilegios para evitar que aunque el usuario llegara a acceder al sistema no pueda modificarlo. ¿Debería restringir más privilegios?

- Eliminar todos los icono del escritorio. Crear un acceso en el escritorio a la aplicación web que debe ejecutar.
Se deja un único acceso en el escritorio para que el usuario pueda acceder a la aplicación web que debe ejecutar evitando que acceda a otras aplicaciones.

- Eliminar el acceso a los diferentes escritorios del panel inferior.

- Añadir al panel inferior los iconos de:
o "Apagar …" (Apagar equipo)
o "Salir …" (Sale de la sesión para entrar como un usuario diferente)
o "Selector de usuarios" (Un menú para cambiar rápidamente entre usuario)
En el panel inferior se añaden una serie de iconos para que el usuario pueda apagar el equipo, cambiar de usuario, bloquear la pantalla o cerrar sesión sin necesidad de utilizar hotkeys. Sin embargo al añadir a este panel inferior el icono de “Selector de usuarios” añade una opción de “Preferencias del sistema …” que me gustaría ocultar. ¿Hay alguna forma de hacer esto más fácil?

- Evitar que el usuario pueda añadir o quitar iconos en el panel inferior.
Desde terminal escribimos “gconf-editor”. En la nueva ventana vamos a “/apps/panel/global/” y
marcamos “locked_down” para deshabilitar cualquier cambio en la configuración del panel.

¿De que otras maneras eficaces podría restringir el uso del equipo para que se reduzca únicamente a la ejecución de la aplicación web?

Espero que os sirvan los pasos que por el momento he dado.

Gracias
Un saludo

Imagen de furtaxi
+1
0
-1

La web que debe usar, en aplicaciones al inicio. Así, sólo con arrancar, ya está donde debe. Se evitan tentaciones.
Sólo es una medida de seguridad psicológica, pero le deja claro que éso es lo que tiene que usar.

Y luego, aplicaría una política muy restrictiva en los puertos, todos cerrados, menos los que necesite.

Mi WEB 100 % GNU/Linux: www.vigovideo.es
El que busca encuentra. El que no, se pierde. Arriba a la derecha, un precioso buscador.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de Charlybrown_1979
+1
0
-1

Hola
A mi parecer quitaria el usuario del grupo admin y de paso lo inhabilitaria de /etc/sudoers en el caso de que pudiera utilizar sudo. Tambien seria interesante probar de quitar privilegios en algunos archivos de configuracion de su HOME como ~/.gconf, ~/.config/ etc, para que no pudiera modificar partes del escritorio, aunque no se como resultaria.
Lo segundo que no si es lo que buscas es habilitar una taminal kiosk, basicamente seria un ubuntu solo con el navegador web, ni mas ni menos. Se que Opera algun tiempo atras era bastante facil habilitarlo ejecutando "$ opera -kioskmode &" y firefox tiene alguna extension para ello.
Te dejo algunos enlaces
http://rooibo.wordpress.com/2008/09/11/como-montar-un-terminal-kiosk-con...
https://addons.mozilla.org/en-US/firefox/addon/1659
http://www.forosdelweb.com/f41/modificar-arranque-debian-542790/#post223...

+1
0
-1
Imagen de lvilchis
+1
0
-1

Como comenta CharlyBrown_1979 con el navegador Opera puedes tener un kiosko sin problemas. Yo probé ponerlo con firefox y a pesar de que bajé tres plugins para este proposito no fueron una solucion total, ya que de una u otra forma se podía cerrar el navegador. Con Opera su modo kiosko me resultó más que eficiente, pero para llegar a ello explicare brevemente como la paranoia se apoderó de mí.

Para empezar cambie la combinación de teclas o atajos, tratando de evitar que alguno supiera el "alt+F2"

Instale opera y lo puse como programa de inicio en modo kiosko con las siguientes opciones: opera -kioskmode -kioskresetstation -nochangebuttons -nochangefullscreen -nocontextmenu -nodownload -noexit -nokeys -nomail -nomaillinks -nomenu -nominmaxbuttons -noprint -nosave -nowin -resetonexit, comprobando que con éstas no se cierra, y si llegara a pasar se reestablece automáticamente, recarga la pagina de inicio en automático, quita absolutamente todos los menus y deshabilita el boton derecho del ratón, etc., asi cuando el equipo enciende lo abre con esta funcionalidad.

También quité absolutamente todo del escritorio, dejando sólo un acceso de opera en modo kiosko, edité los menus y los vacié.

Después en una terminal cambie permisos:
sudo -i
cd /home/usuario/
chmod root Escritorio/ -R
cd .config
chmod root menus/ -R

Y hasta ahora me ha sido suficiente, al menos para catalogos de una biblioteca, sin embargo hay salones de cómputo en lo que se necesitan otras cosas y ando en busca de ver como restringirlas, como por ejemplo el que no cambien el foncod del escritorio o que no alteren la configuracion del firefox.

Espero te pueda servir esto.

Saludos

+1
0
-1