Дуже стисле технічне завдання:

• ОС Ubuntu Linux
• Автологін користувача user3 у дуже обмежене антивандальне середовище
• Прихований користувач root з правами суперадміністратора

Поїхали!…

Викачав з ubuntu.com образ диску з 9.10, за допомогою утиліти unetbootin зробив інсталяційну флншку і встановив з неї ОС звичайним чином. При установці завів користувача user3, звісно ж в Ubuntu він автоматично став суперадміністратором. Щоб не мучитись з sudo до якого я не звик є цікавий чіт: запускаємо bash на правах суперкористувача і радіємо тому що більше не потрібно перед кожною командою писати sudo

sudo bash

Далі я встановив усі доступні оновлення, локалізацію, а також редактор ізоляцій pessulus і набір кодеків ubuntu-restricted-extras.

Тепер бажано налаштувати усе що зберігає свої налаштування у /home/user3, оскільки у майбутньому внесення туди правок буде дещо проблематичним. Так, видаляємо зайві пункти з головного меню Gnome, формуємо панель швидкого запуску, набір аплетів, вміст Стільниці, встановлюємо шпалери, оформлення і т.д.

Настав час активувати користувача root. Я видалив пункт запуску гном-терміналу з меню і скоро забороню запуск його через Alt+F2, тому перемикаюся у першу нульову консоль (Ctrl+Alt+F1), логінюся там як user3, встановлюю пароль для користувача root і цим активую його:

sudo passwd root

Вводжу пароль, підтверджую пароль.
Розлогінююсь

exit

і логінюсь під рутом. Переходжу до графічної консолі (Ctrl+Alt+F7) і розлогінююсь там також. У вікні входу в систему натискаю “Другое” і входжу як root.

Система -> Администрирование -> Пользователи и группы, вибираю user3, тисну на Свойства, вкладка Привилегии пользователя. Тут знімаю галочки де не треба. Якщо зняти галочку Администрировать систему то середовище user3 стане майже антивандальним, оскільки це заборонить користувачу user3 використовувати sudo, але згідно завдання мені потрібно залишити цю можливість.

Свойства учётной записи «user3»

Система -> Администрирование -> Редактор изоляции
Тут ставимо галочки де треба, а біля них замочки (Нажмите чтобы сделать этот параметр принудительным). Обов’язково забороняємо використання командної строки (насправді цей пункт забороняє запуск програм через Alt+F2). У гілці Панель є можливість заблокувати панель і заборонити вихід з сеансу, але у мене остання чомусь не спрацьовує. У гілці Хранитель экрана GNOME я заборонив блокування екрану.

Редактор изоляции

Тепер user3 не зможе зіпсувати систему, але може зіпсувати собі оточення. А воно повинне бути антивандальним. Можна звісно встановити йому права 000 на /home/user3, але невідомо чи будуть коректно тоді працювати прикладні програми, такі як Firefox чи Empathy. З іншої сторони, чи потрібно мені зберігати історію того самого Firefox чи Empathy? – Звісно ж ні. Рішення я знайшов колись дуже давно у якомусь непередбачуваному місці, здається на bash.org.ru. Воно передбачає знищення /home/user3 і створення його заново при кожному завершенні/відновленні роботи.

Запускаємо термінал і створюємо бекап /home/user3

sudo bash
cp -rp /home/user/ /var/backups/user3

Тепер створюємо скрипт, що буде знищувати /home/user3 і відновлювати його з бекапу. Назвемо його homeclear і розмістимо у /usr/local/bin/

nano /usr/local/bin/homeclear

Туди пишемо такий текст:

#!/bin/bash
 
rm -rf /home/user3/
cp -pdRr /var/backups/user3 /home/

Ось тут хочу зауважити, що скопіювати скриптом рекурсивно вміст директорії у іншу директорію мені так і не вдалося. Потрібно копіювати не вміст директорії, а саму директорію. Так, команда cp -pRr /var/backups/user3 /home/user3 створить директорію /home/user3/user3 (тоді як сама домашня директорія залишиться невідновленою); cp -pRr /var/backups/user3/* /home/user3 відновлює чомусь тільки видимі файли. Для невидимих використовую маску “.*” , але під неї попадає “.” і “..” , з усіма з цього наслідками. Це говорить про те, що бекап повинен зберігатися саме у директорії з назвою user3, і ні в якій іншій.

Тепер потрібно зробити щоб цей скрипт запускався при завершенні чи відновленні роботи користувача user3. Як це зробити я піддивився ось тут. Запускати цей скрипт при логіні дещо проблематично, бо такий спосіб передбачає розміщення посилання на нього у ~/.config/autostart, а він повинен знищувати ~/ . Рекурсія блін Можна було звісно погратися, але не було бажання, тому будемо запускати його при логауті. Приводимо скрипт /etc/gdm/PostSession/Default до от такого стану:

#!/bin/sh
 
logoutscript="/usr/local/bin/homeclear";
if [ -x "$logoutscript" ] ; then
sudo -u root "$logoutscript"
fi
 
exit 0

От і все. Щоб там не намутив user3 при логауті це все буде знищено та відновлено до стану на момент створення /var/backups/user3 .
Для того щоб тимчасово призупинити таку поведінку достатньо забрати у скрипта homeclear право на виконання

chmod -x /usr/local/bin/homeclear

Для того щоб повернути таку поведінку достатньо надати скрипту homeclear право на виконання

chmod +x /usr/local/bin/homeclear

Тепер мені потрібно заборонити користувачу user3 можливість завершити сеанс, перезавантажити, вимкнути чи відправити у гібернейт комп’ютер. Зважаючи на те що користувач не знає пароля від user3 і ніяким чином не може викликати термінал достатньо видалити відповідні пункти меню. Теоретично це можна зробити за допомогою gconf-editor (я дуже злий на цей дурнуватий інструмент) правкою ключів /apps/gnome-power-manager/can_hibernate
/apps/gnome-power-manager/can_suspend
/apps/panel/global/disable_log_out
/apps/panel/global/disable_lock_screen
але як я їх не правив ніякого ефекту не відчув. Мало того, при спробі правити котрогось з них я побачив повідомлення про те що не маю прав це робити, оскільки мені заборонено запис у файл, який містить цей ключ. Що то за файл я так і не зрозумів, у який root писати не може. Ну гаразд, встановлю краще права 700 на /usr/lib/indicator-session/gtk-logout-helper і /usr/lib/pm-utils/bin/pm-action та й годі.

chmod 700 /usr/lib/indicator-session/gtk-logout-helper
chmod 700 /usr/lib/pm-utils/bin/pm-action

для гібернейту це не допомогло, тому ще забрав права на виконання у pm-action:

chmod -x /usr/lib/pm-utils/bin/pm-action

Ну і для заборони гостьового сеансу видаляю пакет gdm-guest-session

sudo apt-get remove gdm-guest-session

UPD 04.12.2009 12:29
Сьогодні зроумів як забрати зайві пункти з апплету керування сесією. Для цього треба забрати трохи прав у /usr/lib/indicator-session/indicator-session-service

chmod 700 /usr/lib/indicator-session/indicator-session-service

Також можна прибрати Network Manager applet

chmod 750 /usr/bin/nm-connection-editor
chmod 750 /usr/bin/nm-tool
chmod 750 /usr/bin/nm-applet

Ось це начебто і все. Посилань не лишаю, бо дуже багато їх надивився за ці 3 дні і вже сам у них заплутався =) Коментуйте.

Вот установил себе Sabayon 5.0 Gnome, обновился полностью, немного пошаманил – и вот что с него вышло.

Сразу канешно непривычно работать после Убунту, не понравился пакетный менеджер Sulfur, синаптик имхо намного удобнее. Еще и блютус не работает, выдает при наборе в консоли ошибка сегментирования (может кто сталкивался подскажите как решыть траблу). Ну а во всем остальном довольно удобная и работоспособная ОС, скорость работы отличная, порадовал огнелис 3.5.5. Ну впринципе вот такой вот маленький обзорчик

На оффсайті поки що анонсу немає.

Так як це вже не новина, і скрізь вже понаписали що там обновилось, то повторюватись не буду, кому цікаво знайде сам.