У меня есть небольшой linux-бокс (работает под управлением Debian), подключенный к монитору, который я хочу разместить в каком-то общедоступном месте для отображения некоторых вещей. Я могу подключиться к нему по SSH и не хочу, чтобы кто-либо имел к нему доступ, подключив клавиатуру или мышь. Однако когда я запускаю x через командную строку, это именно то, что люди могут сделать. Как я могу предотвратить это?
1 ответ
1
Итак, для отображения одного X-приложения в полноэкранном режиме без входа в систему наиболее удобный способ - использовать специализированный диспетчер отображения, такой как nodm - я использую его лично для запуска информационного приложения.
Это все, что нужно сделать, если машина физически защищена, а экран - единственное, к чему имеет доступ широкая публика.
Если у вас будет открыт весь блок, то все очевидно изменится, и вы сами решите, какой уровень взаимодействия вам необходим.
Я бы сказал, что если у вас нет возможности физически обезопасить коробку, все ставки в любом случае отключены: если кто-то может свободно вставить ключ в вашу коробку, то рано или поздно он сделает что-то "интересное" с вашей машиной, независимо от того, Вы блокируете внешние порты / драйверы черного списка и т. д.
С другой стороны, если коробка должна находиться в контролируемой среде, скажем, сам корпус системы скрыт и открыты только экран, клавиатура и указывающее устройство, тогда такую систему в разговорной речи называют "киоск", и Настройте его правильно, ваша задача - предотвратить вмешательство пользователя в систему с помощью устройств ввода.
Минимальный контрольный список вещей, которые нужно защитить, будет таким:
- Отключить Ctrl - Alt - Del для перезагрузки (сделано в
/etc/inittab); - Отключить "волшебный ключ SysRq " по понятным причинам.
- Отключить переключение VT, когда X активен ;
- Отключите "специальные клавиши" в X, такие как Ctrl - Alt - Backspace и клавиши переключения разрешения.
- Убедитесь, что нет другого способа запустить другие приложения, используя приложение, которое вы выставляете.
Обратите внимание, что существуют специализированные дистрибутивы для запуска киосков на основе браузера, и HOWTO о том, как настроить типичный универсальный дистрибутив для запуска киоска - просто Google, используя эти ключевые слова.