Smíš pouze prohlížet

27.1.2006 10:57 | Přečteno: 2053× | Mohlo by se někomu hodit | poslední úprava: 27.1.2006 10:58

Zadání úkolu

Již z mých minulých zápisů si mohl laskavý čtenář povšimnout, že provozujeme elektronický archív závěrečných prací našich posluchačů. Máme práce, ke kterým jejich autoři dali souhlas se zveřejněním na Internetu a ty jsou v současné době také dostupné (viz má prosba o otestování). Máme ale také práce, ke kterým souhlas dán nebyl – a takové práce nejenomže nemůžeme vystavit na Internetu, ale podle aktuálního výkladu autorského zákoníku je ani nemůžeme dát volně k dispozici studentům v tom smyslu, že by si mohli tato PDFka kopírovat a odnášet domů. Úkol zněl: smí si je pouze prohlížet!

Do hry vstupuje NX

Naštěstí jsem tou dobou objevil technologii NX pro vzdálený přístup k počítači v grafickém režimu vyvíjenou společností NoMachine a volně dostupný klon terminálového serveru na této technologii postavený – FreeNX. Vyčlenil jsem jeden starší server (Pentium III, 384 MB RAM), kde jsem nainstaloval Adobe Reader a FreeNX a vysdílel adresáře se závěrečnými pracemi. Obešel jsem všechny počítače v knihovně přístupné čtenářům a nainstaloval zde originální klienty ze stránek NoMachine. Ve výsledku to funguje tak, že čtenář na počítači v knihovně spustí klienta, ten mu automaticky na serveru spustí prohlížeč Adobe Reader, kde již si může čtenář otevírat a prohlížet dostupné práce v PDF. Nemůže si je však ukládat. Přesněji řečeno může, ale pouze na serveru a k těmto složkám se žádným jiným způsobem nedostane (doufám :)

Jak je to zabezpečeno

Zde je asi zapotřebí vysvětlit, jak přihlašování klienta k terminálovému serveru funguje. Veškerá autentizace (a je-li libo tak i celé spojení) probíhá s pomocí ssh; na serveru se vygeneruje dvojice certifikátů, privátní se rozdistribuuje na stanice a veřejný zůstává na serveru. Vtip spočívá v tom, že veřejný klíč obsahuje příkaz – cestu k programu, který se má spustit, pokud spárování klíčů proběhne v pořádku. Tím programem je nxserver – skript pro bash, který obsluhuje další požadavky klienta, tedy zejména ověření uživatelského jména a hesla, přípravu prostředí a spuštění agenta terminálového serveru pod tímto uživatelským jménem. Tím jsem nakousl další dva triky vedoucí k úspěchu – ověření uživatelského jména a hesla může probíhat vůči jiné databázi než při přímém přístupu na server via ssh, náš uživatel ctenar s heslem, které si může kdokoliv šikovnější zjistit z pracovních stanic, tak na serveru nebude ověřen při pokusu přihlásit se jinak než v prostředí nxserveru. No a konečně vhodnou úpravou skriptu nxserver lze docílit toho, že uživatel si vždy spustí jen a pouze prohlížeč Adobe Reader, ať už si v klientovi navolí cokoliv.
Snad není třeba podotýkat, že na serveru nechybí další obvyklé metody zabezpečení jako firewall, povolení přístupu jen z vybraných IP-adres apod.

Kde to má své mouchy?

Aby to fungovalo, uživatel ctenar musí mít právo zápisu ve svém home a ve složce tmp. Kdyby si dal někdo tu práci, může zaplnit přidělené diskové kvóty – inu škodí tím sám sobě.
Nelze také přehlédnout fakt, že dost často nejsou terminálová sezení ukončena korektně, nesmažou se dočasné soubory, některé procesy zůstávají viset v paměti – denně pouštěný skript čistka toto spraví.
Někdo může namítnout, že z uživatelského hlediska toto není zrovna komfortní řešení. Souhlasím, není. Pokud někdo zná něco lepšího, rád se nechám poučit. Stejně tak pokud někdo v mém řešení „nesmíš stáhnout“ vidí nějakou mezírku, budu rád, když si ji nenechá pro sebe.
Já mohu po téměř půl roce provozu konstatovat, že se nám toto řešení osvědčilo; server bez problémů zvládá desítky zároveň připojených uživatelů, kteří možná nejsou s omezeními spokojeni, ale jinak poslušně „pouze prohlížejí“.

Komentáře

nevim, mozna jsem uplne blbej, ale jak to ma jednou na monitoru, nemuze si udelat trebas screenshoty stranek? nebo vyfotit obrazovku, at uz mobilem nebo digitalem?

Jirka Cech

27.1.2006 11:22 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Screen shot asi udelat teoreticky muze, ale ulozi se mu to pouze do jeho ~ na serveru. No a s tim, ze si to nekdo ofoti digitalem asi nic udelat nejde, ale nadruhou stranu prohrabavat se hromadou jpegu by se mi opravdu nechtelo. :)

Please rise for the Futurama theme song.

27.1.2006 11:37 #Tom
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

On se ten snímek udělá spíše na počítači s NX klientem, v NX okně se mi to nikdy nepodařilo. Pokud má počítač s NX klientem monitor s velkým rozlišením, budou ty obrázky dokonce použitelné.

27.1.2006 11:26 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Ovšem nenapadá mě způsob, jak by se tomuto dalo zabránit. I kdyby existoval nějaký způsob, jak emitovat záření z monitorů tak, že by to foťáky nepobraly, vždycky si to můžeme opsat, ne :-D

When your hammer is C++, everything begins to look like a thumb.

27.1.2006 11:27 Jiří Poláček | skóre: 47 | blog: naopak | Sivice
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

To samozřejmě může, ale to vynaložené úsilí ... bereme to tak, že to odpovídá stavu, kdy si čtenář papírovou verzi práce donesl ke kopírce a kopíroval a kopíroval. Nám jde o to, abychom vyhověli zákonu – jestli jej pak porušuje někdo jiný je zase jeho věc.

Sudoku omrzelo? Zkuste bobblemaze! | Statistiky jsou jak bikiny. Napoví hodně, všechno ale neukážou.

27.1.2006 11:43 zde | skóre: 9 | blog: Linuch | Brno
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Proč to děláte tak složitě? Pokud šlo výhradně o to vyhovět zákonu, úplně by stačilo před otevřením PDFka na disk zobrazit redirekt s upozorněním že dokument lze pouze prohlížet, nikoliv volně šířit, a nechat usera odkliknout tlačítko "Souhlasím".

Je opravdu smutné že jako "přednos" vynášíte to jak vyhovět blbým zákonům.

Táto, ty de byl? V práci, já debil.

27.1.2006 12:06 Jiří Poláček | skóre: 47 | blog: naopak | Sivice
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Kdyby to záleželo jenom na mně, tak to tímto způsobem udělám. Svůj příspěvek jsem nenapsal kvůli "blbým zákonům", ale abych ukázal střípek z toho, v čem mi Linux pomohl. A nevím jak vy, ale já mám vždycky radost, když mi Linux v něčem pomůže :)

Sudoku omrzelo? Zkuste bobblemaze! | Statistiky jsou jak bikiny. Napoví hodně, všechno ale neukážou.

Děkuji za tento blogspot, teď mám „důkaz“, že něco takového jde. :-)

))

oVirt | SPICE

27.1.2006 12:33 Jiří Poláček | skóre: 47 | blog: naopak | Sivice
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Není zač. Vy ten důkaz na něco potřebujete?

Sudoku omrzelo? Zkuste bobblemaze! | Statistiky jsou jak bikiny. Napoví hodně, všechno ale neukážou.

27.1.2006 12:54 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Ano - chci dosáhnout toho, abych se ve fakultní knihovně mohl dostat k elektronickým skriptům (nová papírová se už nevydávají). Ta jsou po zaplacení* dostupná na intranetu, ale víte jak ... když jsou nejvíc potřeba, tak má studijní zavřeno...

* 100 Kč - teď nevím jestli na rok nebo nafurt.

oVirt | SPICE

privátní se rozdistribuuje na stanice a veřejný zůstává na serveru

Opravdu?

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

27.1.2006 12:31 Jiří Poláček | skóre: 47 | blog: naopak | Sivice
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Opravdu.

Sudoku omrzelo? Zkuste bobblemaze! | Statistiky jsou jak bikiny. Napoví hodně, všechno ale neukážou.

27.1.2006 13:57 diverman | skóre: 32 | blog: život s tučňáčkem
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Já vždycky myslel, že privátní zůstává u vlastníka a veřejný se distribuuje dál.

deb http://ftp.cz.debian.org/debian jessie main contrib non-free

27.1.2006 14:25 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Autentizuješ se na serveru svým privátním nebo veřejným klíčem? ;-)

oVirt | SPICE

28.1.2006 14:24 raistlin
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Co to je za blbou otázku?

Neautentizuji se na serveru, ale vůči serveru, a to je setsakra rozdíl. Soukromý klíč neopouští můj počítač.

29.1.2006 22:04 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Smíš pouze prohlížet

Pointa byla jinde - „uživatelem“ je klientský soft, proto má privátní klíč.

oVirt | SPICE

vitej v klubu vyvolenych

provozuje pres nx treba kontakt pro 100 osob

spousteni samostatneho okenka je fakt ficurka

akorat tomu je potreba dat outlookovskou ikonku

aby uzivatele nezmatkovali ;-)

---

no a jinde mam pres nx spousteno asi 150 windows vyukovych aplikaci

na samotnych windows to nechtelo vsechno chodit

neco pres dosbox nebo wine atd...

---

ale to pulnocni cisteni je docela potreba

sice to ted spoustim pres bash s nofork a po skonceni programu vsechno pokilluju ale i tak tam neco vzdy visi ;-)