Benvingudes i benvinguts al portal Linkat

La Linkat és la distribució educativa de GNU/Linux que ha iniciat i ofereix el Departament d'Educació a la comunitat educativa. Es tracta d'un projecte de programari lliure que permet als centres educatius, però també a tota la societat, tenir accés de forma legal, gratuïta i amb suport tècnic professional, a un conjunt molt ampli d'aplicacions: educatives, d'ofimàtica, d'Internet, multimèdia...

No permetre executar programes baixats pels alumnes  Final

  • Hola.
    Sóc en Pau Tomé, de l'IES Carles Vallbona.
    Recentment hem entrat al projecte Linkat com a centre pilot segona remesa.
    Hem instal·lat Linkat a l'aula oberta i els alumnes no tenen cap problema en treballar amb ell. Però s'han adonat que poden baixar pogrames, descomprimir-los al seu directori personal i executar-los. Així m'he trobat l'Open Arena (shooter 1a persona on-line).
    Voldria saber com fer que només es pugui executar arxius instal·lats als directoris "legals" i no dels usuaris. De moment no he trobat res a Google ni al fòrum de la Linkat però busco encara.
    He pensat en l'umask pels fitxers que ells es descarreguin, però amb chmod podrien canviar els permisos (són d'aula oberta, no tontos).

    Gràcies per la vostra ajuda

    Actualitzo:

    Gràcies per les respostes. Ara mateix ja fem servir un servidor proxy però configurem a la Linkat de les aules el proxy del sistema per que les aplicacions que necessiten accedir a Internet pugin fer-ho (no posem gateway ni DNS).

    Blocaré l'open arena si puc, però el poden portar de casa. El problema és que poden jugar en xarxa local (no cal sortir fora). El més ideal seria prohibir executar programes fora dels directoris previstos al PATH, però he vist que a l'entorn gràfic es pot executar sense problemes.

    Una altra cosa que he vist, és que poden instal·lar al wine sense ser administradors de l'equip. No ho he mirat i buscaré als manuals de Wine, però hi ha manera de que es pugi "blocar" la instal·lació en wine?

    En fi, per poder blocar l'execució, se m'acut posar umask 333 (no tindran execució) i treure el dret uid del fitxer chmod per que no pugin canviar els drets.

    Si teniu més idees, gràcies a tots.

  • Hola Pau,

    No se si et servirà la solució que et proposo. Nosaltres tenim la Linkat en forma autònoma en una aula Multimedia i per tant el home de l'usuari sempre és el mateix, alum-01, llavors aplicant el congelador que em va passar el tècnic de T-Systems  Aitor, es crea una còpia del skel del usuari. A partir d'aquest moment cada cop que s'inicia la màquina es sobreescriu de nou tot el skel.  Més avall hi he posat la còpia del script.

    Una altra solució seria banejar les webs no desitjades, ja no podrien executar el joc perquè no el podrien baixar i si el joc és on-line tampoc podrien jugar. En el nostre cas, també per consell de T-Systems, tenim una màquina amb la distribució ClarkConnect que fa aquesta funció.
    http://www.clarkconnect.com/

    Fins un altra

    Pere Joan


    El script que comentava és el següent:

    #!/bin/sh

    # description: script hielo.sh congela un usuari

    ## INICI configuracio ##

    usuari="/home/alum-01"

    tgz="/root/user.tgz"

    ## FI configuracio ##

    retval=0

    case "$1" in

    'start')

      # congelar: restaurant usuari...

      if [ $test -e "$tgz" ]; then

          echo "S0: restaurant $usuari ..."

          rm -f -R $usuari

          tar -Pxzf $tgz

          retval=$?

          # netejant /var/spool/cups (borrant treballs vells d'impresio)

          if [ $test -d "/var/spool/cups" ]; then

              rm -r /var/spool/cups/tmp/*

              rm -r /var/spool/cups/*

              mkdir /var/spool/cups/tmp

              chown root:sys /var/spool/cups/tmp

              chmod 1770 /var/spool/cups/tmp

          fi

      else

          echo "$0: No s'ha trovat $tgz"

          retval=1

      fi

      ;;

    'stop')

      echo "$0: l'script hielo no es un daemon."

      retval=0

      ;;

    'copiaseg')

      echo "Fent copia de seguretat de $usuari a $tgz ..."

      if [ $test -d "$usuari" ]; then

          if [ $test -e "$tgz" ]; then

              rm -f $tgz

          fi

          tar -Pcvzf $tgz $usuari

          retval=$?

      else

          echo "$0: No s'ha trovat $usuari al sistema"

          retval=1

      fi

      ;;

    *)

      echo "Utilitzacio $0  { start | stop | copiaseg }"

      ;;



    esac

    exit $retval
  • Hola,

    Sempre estàs a temps de treure la porta de sortida de les màquines i fer que la navegació es realitzi de forma exclusiva a través d'un servei de proxy. En aquest sentit, a través del YaST, pots definir un servidor proxy de forma que afecti la navegació a través del Firefox. A més, si tens configurat un proxy, ja pots aplicar el filtratge de continguts amb dansguardian per exemple. Tens la documentació al manual del curs D83 (http://phobos.xtec.cat/formaciotic/d83/guia.pdf).

    El filtratge et permetrà decidir quines pàgines són accessibles des del centre i quines no. D'altra banda, i pel fet de treure la porta de sortida de la  màquina, les aplicacions NO saben anar a Internet directament. Firefox tampoc, però com que el fas passar per proxy la impressió que s'endurà l'alumne és que podrà navegar per internet però NO fer servir els programes com ara l'OpenArena.


    Joan de Gracia


  • Actualitzo:

    Gràcies per les respostes. Ara mateix ja fem servir un servidor proxy però configurem a la Linkat de les aules el proxy del sistema per que les aplicacions que necessiten accedir a Internet pugin fer-ho (no posem gateway ni DNS).

    Blocaré l'open arena si puc, però el poden portar de casa. El problema és que poden jugar en xarxa local (no cal sortir fora). El més ideal seria prohibir executar programes fora dels directoris previstos al PATH, però he vist que a l'entorn gràfic es pot executar sense problemes.

    Una altra cosa que he vist, és que poden instal·lar al wine sense ser administradors de l'equip. No ho he mirat i buscaré als manuals de Wine, però hi ha manera de que es pugi "blocar" la instal·lació en wine?

    En fi, per poder blocar l'execució, se m'acut posar umask 333 (no tindran execució) i treure el dret uid del fitxer chmod per que no pugin canviar els drets.

    Si teniu més idees, gràcies a tots.
  • Em penso que he trobat la solució però encara no ho he provat.

    Es tracta de fer una partició independent pel /home (o si és NFS ja és un volum independent) i muntar el sistema d'arxius amb l'opció noexec al fitxer /etc/fstab. Suposo que fent-ho al sistema d'arxius usb també funcionarà.
    D'aquesta manera, només es poden executar fitxers en els directoris habituals on no tenen drets d'escriptura.

    Salutacions i gràcies. A veure si això us pot ajudar
  • 0 usuaris

Aquesta llista mostra els usuaris actius durant els darrers 20 minuts.