Режим Киоска в РЕД ОС

Включение режима киоска
Выключение режима киоска

Окружение

• Версия РЕД ОС: 8
• Конфигурация: Рабочая станция
• Версия ПО: redos-kiosk-utils-0.16-1

Режим киоска представляет собой рабочую среду для пользователя или группы пользователей с четко ограниченным функционалом – пользователи имеют доступ только к тем приложениям, которые явно указаны для их профиля.

Режим киоска в РЕД ОС реализуется с помощью доработанной командной оболочки Bash и окружения рабочего стола MATE.

Базовый функционал киоска реализован в нескольких пакетах и находится в выключенном состоянии. Режим киоска с утилитами для его настройки становится доступным после установки пакета redos-kiosk-utils.

Для установки пакета redos-kiosk-utils выполните команду (потребуются права администратора):

sudo dnf install redos-kiosk-utils

В текущей версии для настройки режима киоска имеются только консольные утилиты, которые должны выполняться с правами суперпользователя root.

При включенном режиме киоска пользователю становятся недоступны:

• запуск программ с графическим интерфейсом, кроме явно разрешённых (ярлыки таких приложений находятся на Рабочем столе);

• выполнение сценариев на любом языке при явном их запуске пользователем;

• запуск на выполнение файлов с установленным битом SUID;

• изменение свойств и содержимого главной панели на Рабочем столе;

• изменение содержимого Рабочего стола (создание/удаление/изменение ярлыков, создание/удаление/изменение иных файлов);

• автоматическое монтирование внешних накопителей;

• смена виртуальной консоли по сочетанию клавиш Ctrl+Alt+Fn.

Также имеются следующие ограничения в режиме киоска:

• главная панель Рабочего стола в режиме киоска не имеет кнопки главного меню (типа «Пуск») и пиктограмм быстрого запуска приложений. Кнопки выхода из сессии, блокировки экрана и выключения/перезагрузки ПК вынесены на главную панель слева;

• Центр управления МАТЕ недоступен, но, даже в случае его ручного запуска, приложение блокируется;

• блокирован запуск Терминала МАТЕ;

• из консольных утилит блокированы dconf и gsettings с целью исключения изменений настроек как МАТЕ, так и графической системы;

• просмотр справочной системы недоступен как при вызове по клавише F1, так и по нажатию кнопки «Помощь», также блокируется в ряде апплетов показ диалогового окна «О программе»;

• дополнительное усечение прав и возможностей пользователя путём запуска приложений в «песочнице» (Firejail).

Включение режима киоска

Для включения режима киоска конкретному пользователю применяется команда kiosk-mode-on с указанием имени этого пользователя (опция -u или --username) и перечнем приложений (опция -a или --appname), которые разрешаются к запуску пользователем в данном режиме. Также доступны следующие опции:

• -t, --timelock – указание времени (в минутах) бездействия в сессии перед включением хранителя экрана и блокировки экрана; по умолчанию, а также при указании значения 0 минут блокировка экрана отключается;

• -b, --blockbtn – отображение кнопки блокирования экрана на главной панели (по умолчанию кнопка не отображается);

• -i, --autohide – включение автоматического скрытия главной панели Рабочего стола (по умолчанию она постоянно отображается);

• -f, --firejail – при необходимости запуска разрешённых приложений в «песочнице» для более значимых ограничений (проект использует пакет Firejail). Если требуется задать какую-либо опцию для firejail (согласно его официальной документации), то данные ключи можно привести в двойных кавычках либо сразу после опции, либо после знака равенства;

• -q или --quiet – подавление вывода на экран (например, для использования в сценариях оболочки). Подавляется вывод не только информационных сообщений, но и сообщений об ошибках.

Например:

• для пользователя sidorov разрешить запуск текстового редактора LibreOffice Writer и почтового клиента Mozilla Thunderbird с блокировкой экрана после 5 минут бездействия:

kiosk-mode-on -u sidorov -a libreoffice-writer,thunderbird -t 5

• для пользователя ivanov разрешить запуск только интернет-браузера Firefox с подключением по сетевому интерфейсу enp1s3:

kiosk-mode-on -u ivanov -a firefox --firejail="--net=enp1s3"  
 
   или
 kiosk-mode-on -u ivanov -a firefox -f"--net=enp1s3"

Обе команды равнозначны.

Приложения указываются путём перечисления имён desktop-файлов, имеющихся в каталоге /usr/share/applications без указания суффикса «.desktop». Иные приложения не допускаются к разрешению в режиме киоска.

По умолчанию на главной панели Рабочего стола имеются кнопки выключения, перезагрузки системы и завершения сеанса/смены пользователя, причём для перезагрузки или выключения системы потребуется ввести пароль администратора (root).

Выключение режима киоска

Для выключения режима киоска и возврата настроек пользователя к обычному состоянию используется команда kiosk-mode-off с указанием имени этого пользователя (-u или --username). Например:

kiosk-mode-off -u sidorov

Дата последнего изменения: 25.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.