Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

OpenBSD 7.8

dnes 13:11 | Nová verze

Bylo vydáno OpenBSD 7.8. S předběžnou podporou Raspberry Pi 5. Opět bez písničky.

Ladislav Hagara | Komentářů: 0

Valkey 9.0

dnes 05:44 | Nová verze

Valkey (Wikipedie) byl vydán v nové major verzi 9.0. Valkey je fork Redisu.

Ladislav Hagara | Komentářů: 2

Kritická zranitelnost v knihovně pro Rust async-tar a jejích forcích

dnes 05:22 | Bezpečnostní upozornění

Byly publikovány informace o kritické zranitelnosti v knihovně pro Rust async-tar a jejích forcích tokio-tar, krata-tokio-tar a astral-tokio-tar. Jedná se o zranitelnost CVE-2025-62518 s CVSS 8.1. Nálezci je pojmenovali TARmageddon.

Ladislav Hagara | Komentářů: 3

AlmaLinux 10.1 přinese btrfs

včera 23:15 | Nová verze

AlmaLinux přinese s verzí 10.1 podporu btrfs. XFS bude stále jako výchozí filesystém, ale instalátor nabídne i btrfs. Více informací naleznete v oficiálním oznámení.

Max | Komentářů: 2

ChatGPT Atlas

včera 22:33 | IT novinky

Společnost OpenAI představila svůj vlastní webový prohlížeč ChatGPT Atlas. Zatím je k dispozici pouze na macOS.

Ladislav Hagara | Komentářů: 0

KDE Plasma 6.5

včera 14:33 | Nová verze

Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.5 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

Ladislav Hagara | Komentářů: 3

Orange Pi 6 Plus

včera 13:55 | IT novinky

Rodina jednodeskových počítačů Orange Pi se rozrostla (𝕏) o Orange Pi 6 Plus.

Ladislav Hagara | Komentářů: 10

Humble Tech Book Bundle: All Things Raspberry Pi by Raspberry Pi Press

včera 13:33 | IT novinky

Na Humble Bundle běží akce Humble Tech Book Bundle: All Things Raspberry Pi by Raspberry Pi Press. Se slevou lze koupit elektronické knihy od nakladatelství Raspberry Pi Press a podpořit Raspberry Pi Press, Raspberry Pi Foundation North America nebo Humble.

Ladislav Hagara | Komentářů: 0

Tesla přidává režim Mad Max

včera 11:44 | Humor

Přidaný režim autonomního řízení vozidel Tesla Mad Max je dostupný pro vybrané zákazníky v programu EAP (Early Access Program). Nový režim je na silnici agresivnější, častěji mění pruhy a ne vždy dodržuje rychlostní limity. Agentura JPP spekuluje, že v Česku by se mohl nový režim namísto Mad Max jmenovat Mad Turek...

karkar | Komentářů: 24

DietPi 9.18

včera 04:00 | Nová verze

Byla vydána nová verze 9.18 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Nově také pro NanoPi R3S, R3S LTS, R76S a M5. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (48%)

Atlassian (20%)

Bitbucket (20%)

Gitea (22%)

Mercurial (18%)

jen git (21%)

jen svn (18%)

Jiné (uvedu v diskusi) (18%)

Celkem 256 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Omezení uživatele pouze na prohlížeč

Štítky: PC, problém, prohlížeče

Dotaz: Omezení uživatele pouze na prohlížeč

17.3.2010 16:19 Jerry
Omezení uživatele pouze na prohlížeč

Přečteno: 811×

Odpovědět | Admin

Zdravím, potřeboval bych nějak vyřešit následující problém.

Chci nasadit linux(ubuntu) na PC do baru, kde má sloužit jen pro prohlížení webu. Jak zabránit minimalizaci prohlížeče resp. použití jakéhokoliv jiného programu.

Řešení dotazu:

Komentář #21 (Jakub Lucký, 1 hlasů)
Komentář #13 (otula, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

17.3.2010 16:41 blami | skóre: 29 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

do firefoxu existuje 'kiosk mode' plugin, mohlo by to resit tvuj problem.

17.3.2010 17:40 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

KDE má pro tyto účely také nástroj s příznačným názvem kiosk, ale nevím, jestli už je v použitelném stavu i verze pro KDE4 (když jsem ji zkoušel někdy v době KDE 4.2, tak nebyla ani zdaleka).

17.3.2010 18:41 Semo | skóre: 45 | blog: Semo
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Vykaslal by som sa na akekolvek DE a spustal pod Xserverom rovno FF. Pripadne v nejakom kiosk mode atd.

If you hold a Unix shell up to your ear, you can you hear the C.

17.3.2010 19:46 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Se spouštěním úplně bez window manageru nemám dobré zkušenosti: jakmile vám nějaký dialog vyjde částečně mimo obrazovku nebo z nějakého důvodu dostane focus špatné okno (a to se čas od času stane), nemáte šanci s tím něco udělat. Když už, je lepší použít něco minimalistického, např. twm nebo evilwm.

17.3.2010 20:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Obejití: Kliknout na odkaz na nějaký soubor, kde vyskočí okýnko „co s tím?“, vybrat „Otevřít s → Jiná → /usr/bin/xterm“ a máme shell… To nebude tak jednoduché. Možná to pořádně zaSELinuxovat?

17.3.2010 19:54 Tombik | skóre: 12
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

pozri si KDE Kiosk a taktiez si pozri Kiosk Admin ale toto by malo byt len na ulahcenie konfiguracie Kiosku. Potrebne je len to co najdes v tom prvom.

Mame to v skole a funguje to skvele. Ide tam spustit len prehliadac, napriklad v skole je Konqueror ale urcite mozes pouzit aj Firefox alebo co uznas za vhodne.

Ja osobne som nic take nekonfiguroval len ti mozem reportnut ze som to videl v skole a zda sa to celkom bezpecne.

17.3.2010 20:55 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Onehdá jsem tohle řešil v práci...

oeditovat /etc/inittab, tam dát jen jednu věc s nastavením "respawn" a to skript, který spouští plain Xka a v nich skript na nesmrtelný Firefox (trošku vychytanější while (1){firefox})

Vypnutí a zapnutí na ACPI...

Ty skripty nebyly moc složité a bylo to hotové za chvilku a hodně neprůstřelné

If you understand, things are just as they are; if you do not understand, things are just as they are.

17.3.2010 21:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

A věc zmíněná výše je ošetřená?

17.3.2010 22:44 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

tehdy nebyla (dokonce mám pocit že ten Firefox běžel pod rootem), nicméně není problém ten firefox spouštět pod nějakým speciálním uživatelem s omezenými spouštěcími programy pomocí ACL

If you understand, things are just as they are; if you do not understand, things are just as they are.

17.3.2010 22:49 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Pardon, vlastně bylo to ošetřeno... Byla tam nějaká plužina, která zabraňovala stahování souborů (a změnám nastavení)

If you understand, things are just as they are; if you do not understand, things are just as they are.

17.3.2010 22:51 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

To že si tam přes file/open dialog (nebo nějak jinak) spustí jiný proces by šlo ošetřit např. tímhle:

http://noexec.sourceforge.net/

Big brother is not watching you anymore. Big Brother is telling you how to live...

17.3.2010 23:10 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

No, moc důvěry to ve mně nebudí. Například je podezřelé už to, že podle hlavní stránky to brání ve volání syscallu exec (syscall je execve()), manuálová stránka zase tvrdí, že proces "will be unable to create any child process" (což je záležitost syscallu fork(), který ale není moc moudré zakazovat). Také bych nedal ruku do ohně, že to nepůjde nějak obejít, třeba zavoláním syscallu přímo místo volání knihovní funkce.

SELinuxu nebo AppArmoru bych v tomhle určitě věřil víc.

18.3.2010 00:05 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Forknout to půjde, ale exec pak už selže. Sice by to šlo obejít syscallem, ale čekal bychm že firefox bude standardně používat knihovní funkce. Takže to asi nezabrání získání shellu přes nějaký buffer overflow nebo podobný exploit vyvolaný v procesu firefoxu (který pak k puštění shellu nebo dalšího kódu používá typicky syscally), ale zabrani to tomu, aby nekdo spustil shell pres nejakou zapomenutou fintu typu "File/save as/open with xterm"

Big brother is not watching you anymore. Big Brother is telling you how to live...

18.3.2010 00:16 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Forknout to půjde, ale exec pak už selže.

To je mi jasné. Šlo mi spíš o to, že tam, kde jde o bezpečnost, nepůsobí moc dobrým dojmem, když má projekt takhle zásadní a do očí bijící chyby v dokumentaci.

ale čekal bychm že firefox bude standardně používat knihovní funkce

Ta poznámka byla spíš obecná (ten projekt si dělá ambice být obecným), ne konkrétně k Firefoxu. Ale ani u toho bych si nebyl stoprocentně jistý, že pouhé preloadnutí knihovny s vlastní verzí execve() stoprocentně vyloučí všechno, co potenciální útočník může udělat.

18.3.2010 22:32 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Všechno určitě nevyloučí - stačí aby tam byl např. flash plugin, někdo k počítači přišel, navštívil stránku se speciálně upraveným SWF a má shell ....

V podobných exploitech se typicky používají syscally, protože adresa kde je knihovní funkce jako např. "exec" není obvykle exploitu známa - takže tahle LD_PRELOAD knihovna je nezastaví.

Podobné exploity lze ztížit (ale asi ne jim zcela zabránit) vhodným nastavením jádra (randomizace stacku, heapu, noexec bit, atd ....) případně vhodnými patchi do jádra.

Ale zastaví to útoky přes nějaký zapomenutý dialog nebo menu ve firefoxu, kde lze klikáním získat shell nebo něco nějak pustit v externím programu (např. nastavit si "xterm" jako prohlížeč zdrojáků, "Open with..." při ukládání nebo otevírání souboru, atd ...)

Big brother is not watching you anymore. Big Brother is telling you how to live...

18.3.2010 22:38 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Panove... muzu pripomenout puvodni dotaz?

Chci nasadit linux(ubuntu) na PC do baru...

On nestavi pocitac pro FBI. ;-)

19.3.2010 00:47 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Existují i různé (polo)automatizované nástroje na útok na podobné kiosky, např. iKAT: http://ikat.ha.cked.net/ takže bych to zabezpečení nepodceňoval .... jinak někdo přijde, tohle tam nahodí a pokud zabezpečení nebylo důkladné, tak do pár minut má shell :)

Big brother is not watching you anymore. Big Brother is telling you how to live...

Řešení 1× (Lol Phirae)

19.3.2010 01:11 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

nějaký read-only filesystém? třeba livko...

If you understand, things are just as they are; if you do not understand, things are just as they are.

19.3.2010 01:17 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Presne tak, strcil bych tam livecd s nejakou distribuci a at si tam uzivatel vyvadi co chce. Oprava tlacitkem reset. ;-)

Řešení 1× (Lol Phirae)

17.3.2010 23:28 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

Opera má nativní kiosk mode

$ opera -kioskmode

Použitelné parametry zjistíš příkazem

$ opera -kioskhelp

Až zjistíš všechny potřebné parametry, tak prostě místo KDE či Gnome spustíš jen Operu :-)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

17.3.2010 23:45 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

tedy spojit #7 s tímhle by mohlo být optimální

If you understand, things are just as they are; if you do not understand, things are just as they are.

18.3.2010 00:09 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

jj, přesně tak :)

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

19.3.2010 14:45 Jerry
Rozbalit Rozbalit vše Re: Omezení uživatele pouze na prohlížeč

moc děkuji všem za návrhy, vše jsem tak nějak prošel... a když už jsem měl celkem jasno, tak zadavatel změnil zadání a že chce aby to bylo plně funkční (rozuměj přehrání videa stažení pošty přečtení dokumentů atd...)

nápad s liveCD je hezký, ale krom toho, že padá s novým zadáním, tak v tom pc není ani funkční optická mechanika :D (podle závanu tipuju na Tullamore Dew)

nicméně jsem našel (byl naveden na): http://wiki.ubuntu.cz/Nezni%C4%8Diteln%C3%BD%20desktop

měl bych jen pár doplňujících otázek 1) když jsem prováděl: odstranění položek hibernovat atd. - jak se to má projevit? (nějak jsem nepozoroval žádnou změnu) 2) mám staženo 9.10 a v návodu je část "ochrana zavaděče" s tím, že se odkazuje na menu.lst a nastavení chmod 600... - tak jestli by se našla nějaká adekvátní úprava (vzhledem k místu (bar) mně napadlo snížit odpočet na 0s)

díky předem

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje