Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: dadaa - 27.03.07 - klo:13.09
-
Eli asensin poikani koneelle ubuntun ja se toimiikin muuten hienosti mutta sen käytön rajoittaminen ei olekaan niin helppoa. Ymmärrän että rajoitukset eivät ehkä "kuulu" linuxin open source- maailmaan mutta olis hienoa jos jotain pystyisi tekemään. Olen nyt yrittänyt tehdä muutamien ohjeiden mukaan mutta en ole täysin tyytyväinen. Yritin rajoittaa ubuntun käyttöaikaa tämän debianin ohjeen mukaan mutta mitähän tein väärin kun ei mitään vaikutusta ole? Eli tämän mukaan tein: http://www.debian-administration.org/articles/227 toimiiko tämä ubuntussa ja jos sen siis saa oikein laitettua mitä pitäisi tapahtua kun yrittää kirjautua koneelle ei sallittuna aikana?
Lapsilukko eli netin sisällönrajoitukseen löysin tämän: http://linux.softpedia.com/get/Security/Parental-control-24501.shtml mikä toimiikin ihan hyvin paitsi että senhän saa suljettua yläpalkista klikkaamalla parental control näppylää että mitenköhän tämäkin pitäisi laittaa jotta se olisi vain minun suljettavissa?
:)
-
Eli tämän mukaan tein: http://www.debian-administration.org/articles/227 toimiiko tämä ubuntussa ja jos sen siis saa oikein laitettua mitä pitäisi tapahtua kun yrittää kirjautua koneelle ei sallittuna aikana?
Toimii ubuntussa, kirjautuminen ei onnistu kuin sallittuina aikoina. (kannattaa muuten varmaan laittaa myös ntp-demoni pyörimään jos haluaa varmistua siitä, ettei biosista säädellä kelloa)
Lapsilukko eli netin sisällönrajoitukseen löysin tämän: http://linux.softpedia.com/get/Security/Parental-control-24501.shtml mikä toimiikin ihan hyvin paitsi että senhän saa suljettua yläpalkista klikkaamalla parental control näppylää että mitenköhän tämäkin pitäisi laittaa jotta se olisi vain minun suljettavissa?
Tuolla on joku howto dansguardianin säätelyyn http://www.pilpi.net/journal/item-985.php noista CE:n omista kehitelmistä ei löydy pikavilkaisulla mitään dokumentaatiota.
-
Toimii ubuntussa, kirjautuminen ei onnistu kuin sallittuina aikoina. (kannattaa muuten varmaan laittaa myös ntp-demoni pyörimään jos haluaa varmistua siitä, ettei biosista säädellä kelloa)
Vekarat ovat kekseliäitä: Nämä rajoitukset on helppo kiertää esim. Ubuntu LiveCD:llä. Eli siis BIOS-asetuksista sallittava vain HD-bootti ja estettävä BIOSin muutokset salasanalla. Tällöin ei aikaakaan pääse rukkaamaan.
Tämä pam_time-moduli määrää vain mahdollisen login-aikaikkunan. Se ei siis heitä käyttäjää ulos, vaikka aikaraja ylittyisi. Logout-toiminnon toteutukseen tarvitaan esim. crond:n kutsumaa skriptiä. Tämä on kuitenkin sellaista hackäystä, ettei minun taitoni riitä. Ehkä joku viisaampi voisi kertoa tästä lisää?
-
Tuossa debiaanin ohjeessa käsiteltiin näköjään ssh-loggautumista, mutta saman tuloksen saa kun laittaa samat jutut /etc/pam.d/ssh filun sijasta /etc/pam.d/gdm filuun.
Tuo käyttäjän ulosheittäminen on sitten taas tavallaan hieman ikävää, kun jos on tallentamattomia töitä yms. tietysti jos laittaisi jotenkin gnome-screensaverin pam-moduuliin samat löpinät ja koittaisi saada sen istunnon jollain lukittumaan haluttuna hetkenä...
Edit: http://lists.freedesktop.org/archives/xdg/2006-May/008139.html
Siitä sitten käsky su kannisto -c "dbus-send --session --dest=org.gnome.ScreenSaver --type=method_call /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock" lukitsee minut ulos istunnosta (onneksi tällä kertaa vain hetkellisesti), tuo suorittaa tuon komennon minun omilla tunnuksillani (su:n avulla) ja vaatii siis rootin oikeudet tai minun salasanani. Elegantimpaa olisi lähettää dbusilla suoraan toisen käyttäjän sessioon, mutta en nyt saanut sitä sieltä helposti ulos.
-
Vekarat ovat kekseliäitä: Nämä rajoitukset on helppo kiertää esim. Ubuntu LiveCD:llä. Eli siis BIOS-asetuksista sallittava vain HD-bootti ja estettävä BIOSin muutokset salasanalla. Tällöin ei aikaakaan pääse rukkaamaan.
Ei riitä - vielä pitää estää GRUB:n muokkaus.. single vain eteen niin pääsee muoksimaan mitä vain :)
Eli se 'fyysinen turvallisuus' on näissä laitteissa ehkä se vaikein, eli sallia käyttäjän päästä koneelle mutta estää sen sillä mitään tekeminen.. Äkkiäkös kekseliäs vekara surffaa netistä ohjeet BIOS:n (salasanan) resetointiin..
Koppa lukkoon ja lukolliseen (mutta tuuletettuun) kaappiin ja ulos vain näppis, hiiri ja monitori (kaksi ensimmäistä voi ottaa langattomana :). Salasanat biosiin ja grubiin ja cd-bootti joka sallii vain tietyt jutut ja kovalevy koneesta pois.. Ja tuollaisella ajastimella koneen sähkönsaannin rajoittaminen.. Ja rautapohjainen sisältösuodin päälle ja adsl-modeemiin (salasanasuojattu sekä fyysisesti suojattu, tietty) lisäksi verkkoyhteyden katkaisu sallittujen kellonaikojen ulkopuolella.
Miten nii tykillä kärpästä :)
Keksikääpä tuohon porsaanreikää (paitsi se lukollisen kaapin ja koneen avain siinä hyllyn päällä :) niin kehitellään lisää :)
r
r
-
Riston ohjeilla varmaan pärjää hetken.
Itse voisin ajatella myös ihan toista lähestymistapaa. Meillä vastaavassa tilanteessa on sovittu, että kouluaamuja vastaan ei surffata kello 22:00 jälkeen ja jos konetta käytetään, niin sitten koulutehtäviin.
Ukaaseitta on toiminut. Jälkikasvu on oivaltanut, jos on ollut edes tarpeen, että modeeminvalot paljastaa ja ylityksiä ei hirveen monia hyvällä katsota.
Perimmäinen pointti on tietenkin se, että sovitaan asia, ei sanella - vaikka käytännössä se vanhemman sana tietenkin se viimeinen sana on.
-
niin, jottei lähtisi liukumaan pahasti offtopiciin...
niin peruskysymys tässä threadissä on: Voiko käyttäjälle asettaa ns. Session-aikarajan ja sisällönsuodatuksen Ubuntussa (kuten esim. Vistassa) ?
Vastaus käsittääkseni on siis,
1) Session-aikarajaa ei voi kovin helposti Linuxissa/Ubuntussa ottaa käyttöön
2) Sisällön suodatukseen löytyy ainakin dadaan jo löytämä Dansguardian (jota CE:n sinänsä kamala ja buginen skripti hyödyntää)
Toivottavasti löytyy 1) -kohtaan lisää eriäviä mielipiteitä perusteluineen :P
-
Toivottavasti löytyy 1) -kohtaan lisää eriäviä mielipiteitä perusteluineen :P
1) Miksi ei voisi, lyödään vaikkapa näytönsäästäjä käyntiin (salasanallinen) tietyn ajan jälkeen väkisin.
Ubuntuhan on Linux, ja juurikaan mikään ei ole mahdotonta Linuxille. ;)
Riittänee perusteluiksi, voidaan me sammuttaa konekin, tietyn ajan jälkeen, ja sekin voidaan järjestää että se ei enää lähde (koskaan) käyntiin jos ei tietty henkilö (root) tee jotakin. Siis miltei kaikki on mahdollista Linuxissa = Ubuntussa. :-*
eedittiä, tuommoisenkin NE on tehneet http://packages.ubuntu.com/edgy/admin/pessulus
sille pitää sitten vain asettaa chown ja chgrp rootiksi ja oikeudet 700 niin eivät pikkuilkiöt pääse säätelemään,
ja samat gconf-editor:lle ;)
Tuoltapa lisää: http://www.gnome.org/learn/admin-guide/latest/lockdown.html
-
Niih... zenityllä vaikka rumaa dialogia naamalle tyyliin:
zenity --warning --text="Tietokone sammutetaan 5 minuutin kuluttua, tallenna työt."Ja kohta toteutetaan pahuudet, vaikka purkasti croniin asetetulla shutdown-komennolla! ;D
-
Tuo käyttäjän ulosheittäminen on sitten taas tavallaan hieman ikävää, kun jos on tallentamattomia töitä yms. tietysti jos laittaisi jotenkin gnome-screensaverin pam-moduuliin samat löpinät ja koittaisi saada sen istunnon jollain lukittumaan haluttuna hetkenä...
Eikö Gnomessa ole mitään istunnonhallintaa? Harmi sinällään, ettei tuolla ole kukaan ainakaan vielä tainnut kirjoittaa FDo-"standardia". KDE:ssähän tämä homma toimii yleisesti ottaen ihan mallikkaasti, eli kun sammutuskomento tulee, niin ksmserver lähettää kaikille ohjelmille DCOP-signaalin, jonka perusteella ohjelmat pystyvät vielä tekemään viime hetken siirtonsa.
Tosin nyt kun DBUS otetaan Gnomessakin käyttöön, niin moisen ominaisuuden tekeminen varmasti helpottuu ja toivottavasti jo piakoin näemme eri ohjelmien toimivan "oikein".
-
ok eli olen nyt saanut koneen niin että siinä on sisällön suodatus toiminnassa ja koneelle pääsee vaan niinä aikoina kuin haluan mutta miten saisin sen heittämään käynnissä olevasta sessiosta ulos? Saisko selvää koodia ja ohjeet mihin pitää laittaa? Aloittelijalle yksinkertaiset/kunnon ohjeet, kiitos. Tai siis haluaisin että koneen käyttö loppuu joka ilta kello 2100 että miten sen saisin toteutettua?
-
http://www.hmug.org/man/5/crontab.php (http://www.hmug.org/man/5/crontab.php)
... siitäpä eteenpäin.
<!-- Spoilers start here -->
...Pureskellaan kaverille pulla valmiiksi...
Crontabin manuaalissa esitellyn esimerkkitiedoston kohta:
0 22 * * 1-5 mail -s "It's 10pm" joe%Joe,%%Where are your kids?%
->
0 21 * * * su [Lapsen_tunnus] -c "komento"
#Edellämainittu suorittaa tietyn komennon päivittäin kello 21 tunnuksella [Lapsen_tunnus]
#Tämä lisätään crontab-tiedostoon (/etc/crontab)
#kohdan ´komento´ voi vaihtaa vaikka Kanniston esittelemään komentoon dbus-send --session --dest=org.gnome.ScreenSaver --type=method_call /org/gnome/ScreenSaver org.gnome.ScreenSaver.Lock
#e: tai esimerkiksi komentoon sudo /etc/init.d/gdm restart Joka käynnistää kirjautumismanagerin uudelleen = heittää käyttäjän kirjautumisikkunaan. Ja jos tunnuksella ei voida kirjautua yhdeksän jälkeen, kone on sammuttamista vaille kiinni.
45 20 * * * zenity --warning --text="Tietokone lukittuu 15 minuutin kuluttua, tallenna työt."
#varoitus.
<!-- Spoilers end here -->
-
Ymmärrän että rajoitukset eivät ehkä "kuulu" linuxin open source- maailmaan mutta olis hienoa jos jotain pystyisi tekemään. Olen nyt yrittänyt tehdä muutamien ohjeiden mukaan mutta en ole täysin tyytyväinen.
Unix-maailman kuuluu hyvin olennaisesti se seikka, että koneen ylläpitäjät voivat määritellä, mitä koneessa oikein tapahtuu. Ei sen puoleen, kuuluuhan se toki Windows NT-sarjaan ja muihinkin moderneihin käyttöjärjestelmiin.
-
Parhaiten olen saanut tuon lapsiluk,on toimimaan asentamalla Christian ubuntun ja sitä sit päivitellyt etiä päin...
-
En saanut tuota Fa1r:n spoilerissa esitettyä tapaa suoraan toimimaan, mutta pienen kokeilun jälkeen onnistui:
/etc/crontab
# 15-min varoitus Matille
45 15 * * mon-fri matti zenity --display :0.0 --warning --text="Tietokone lukittuu 15 minuutin kuluttua, tallenna työt."
#Matin istunnon lopetus
0 16 * * mon-fri root /usr/bin/skill -KILL -u matti
Tässä siis Matti-pojan sessio lopetetaan arkisin 15-min ennakkovaroituksella klo 16:00.
Tämä sen takia, että Isukki pääsee tarkastamaan heti töistä tultuaan, onko Feistyn Compiziin jo tullut animation-plugin ;D
-
Pakettivarastoista löytyy myös sellainen kuin timeoutd joka myös hoitaa tuon homman ja tukee erilaisia säätömahdollisuuksia. Lähettää myös 5 minuuttia ennen käyttäjän ulosheittoa viestin, tosin en tiedä osaako lähettää mitään viestiä X:n puolelle vai tuleeko se vain terminaaleihin.
-
Nyt sitten 7.04 feistyyn siirryttyämme ei päivitys täysin onnistunut, joten asensin rompulta kokonaan uudestaan eli tyhjälle koneelle tämän ubuntun(feisty) ja saan kyllä nämä käytön aikarajoitukset toimimaan yllä olevien ohjeiden mukaan mutta se scripti christian editionista jolla sai edelliseen versioon tämän parental controlin ei kyllä enää toimi kunnolla koska sekoittaa koneen ja netti katoaa kokonaan. Eli ainoa vaihtoehto olis kait laittaa christian edition tästä ubuntusta jos haluais sen par.controlin tähän koneelle estämään ei toivotut sivut. Käsin dansquardianin ,clamavin ja firefoxin proxykuvioiden toimintaan saattaminen taitaa olla iso homma ja graafinen säätö oli kyllä hyvä tuossa christian editionin scriptistä kun tuli. Jos joku osaa neuvoa oikean tien niin kiitos! :)
-
Koko CE:tä ei tarvitse asentaa, pelkkä sisällönsuodatus Feistylle löytyy myös : http://www.whatwouldjesusdownload.com/christianubuntu/2007/05/popular-packages.html (http://www.whatwouldjesusdownload.com/christianubuntu/2007/05/popular-packages.html)
-
Heh, täältähän löytyy apua siihen miten saan rajat omalle koneenkäytölleni ;D
-
Niih... zenityllä vaikka rumaa dialogia naamalle tyyliin:
zenity --warning --text="Tietokone sammutetaan 5 minuutin kuluttua, tallenna työt."Ja kohta toteutetaan pahuudet, vaikka purkasti croniin asetetulla shutdown-komennolla! ;D
Hei,
Nyt olen yrittänyt ajastaa timeoutsin, mutta se ei toimi. Ei toimi myöskään
zenity yllä olevalla koodilla. Vastaukseksi ilmoittaa "ei oikeat valitsimet", vaikka
olen antanut täysin man antamat valitsimet. Ideoita?
timeoutd on käynnissä.
rivi timeouts:sissa on:
A1:*:mika:*:5:2:180:1
Mutta mika ei lennä 2 minuutin kuluttua ulos.
-
Oisko mitään helppokäyttöistä sivuja blokkaavaa ohjelmaa linuxiin? Tarvitsisin pikaisesti.. =)
Olisi hyvä, jos niiden blokkauksia olisi mahdollisimman vaikea murtaa.
-
Olisi hyvä, jos niiden blokkauksia olisi mahdollisimman vaikea murtaa.
http://wiki.ubuntu-fi.org/Nettisuodatus
Vaatii vähän enemmän kuin vain kuvakkeiden naksuttelua, pahoittelen.
Ystävällisin terveisin Asmo Koskinen.
-
ADSL purkissa pitäisi olla filteri ominaisuus. Tai käyttää OpenDNS (http://www.opendns.com/) nimipalvelua (regattuna pystyy suodattaa sivuja). =)
-
Olisi hyvä, jos niiden blokkauksia olisi mahdollisimman vaikea murtaa.
http://wiki.ubuntu-fi.org/Nettisuodatus
Vaatii vähän enemmän kuin vain kuvakkeiden naksuttelua, pahoittelen.
Ystävällisin terveisin Asmo Koskinen.
Jos tahdotaan suojaus jota ei murreta kliksauttamalla nappia niin eiköhän siinä ole pakko itsekin likaistaa kätensä =)
-
Asetat niille salasanan mitä et kerro, asetat gdm:n päästämään ne sisään ilman salasanaa ja sitten tietyn ajan päästä kirjautumisesta jysähtää salasanalla varustettu näytönsäästäjä päälle. :) ehdotan vaan, vaikki mulla ole hajuakaan miten sen näytönsäästäjän saa automaattisesti menemään päälle...
-
Haluaisin asettaa niin että sallisin kaikki fi-verkkotunnukset. Miten onnistun tässä?
-
Ekana tuli mieleen /etc/hosts.allow ja /etc/hosts.deny, mutta niitä ei taida saada käyttäjäkohtaiseksi. Mutta iptablesilla pystyy tekemään käyttäjäkohtaisia sääntöjä, ehkäpä sillä onnistuu.
-
ehkä, ohjeita?
-
Jos kyseessä on pelkkä web-selailu, heitän hatustani, että Squidin kanssa leikkiminen voisi toimia. Voisi sitten jopa heittää "tuhma sivu, ota yhteyttä isukkiin/äitiliiniin niin keskustellaan asiasta"-virhesivun.