Roberto Lissandrin - Tommaso Vecchiattini 2010/2011

UNIVERSITÀ DEGLI STUDI DI FERRARA Postazione Totem Guida per l installazione Roberto Lissandrin - Tommaso Vecchiattini 2010/2011

Sommario INTRODUZIONE... 2 Capitolo 1: INSTALLAZIONE DEL SISTEMA... 3 Capitolo 2: FIREFOX... 6 Capitolo 3: PANNELLO DI CONTROLLO... 10 Capitolo 4: GESTIONE BARRA APPLICAZIONI... 14 Capitolo 5: UBUNTU TWEAK... 15 Capitolo 6: CONFIGURAZIONI FINALI DEL SISTEMA... 17 Capitolo 7: PRIVILEGI STUDENTE... 18 Appendici... 18 1

INTRODUZIONE In questo documento verrà trattata la procedura da eseguire per installare una postazione totem, ossia un terminale adibito esclusivamente alla consultazione delle seguenti risorse web: 1. www.unife.it 2. www.er-go.it 3. studiare.unife.it L'obiettivo è quello di predisporre una macchina che consenta all'utenza di poter consultare solamente i siti prima citati, senza poter eseguire altre operazioni all'interno del sistema operativo. Questo significa che l'utente non potrà eseguire le seguenti azioni: a parte il browser web non si potrà aprire e usare nessun programma. usare il browser di sistema per navigare tra le risorse di sistema modificare le impostazioni di sistema gestire e modificare utenti all'interno della macchina spegnere o riavviare la macchina usare il browser per consultare risorse differenti da quelle predefinite usare le scorciatoie della tastiera utilizzare servizi di stampa Deve essere inoltre possibile gestire la macchina per apportare eventuali modifiche. La gestione viene garantita grazie all'abilitazione di una scorciatoia segreta da tastiera che permette di accedere al terminale di sistema. Infine è possibile anche collegarsi da remoto grazie al protocollo VNC. Per la realizzazione di un totem non è necessario disporre di una macchina molto potente, in generale è possibile riutilizzare vecchi computer. Il sistema operativo utilizzato in questo progetto è linux mint 8 gnome, una particolare versione derivata da ubuntu. E' possibile prelevare l'immagine del S.O. dal sito ufficiale: http://www.linuxmint.com/ E possibile realizzare la postazione totem utilizzando anche altre distribuzioni linux based. 2

Capitolo 1: INSTALLAZIONE DEL SISTEMA Durante l'installazione del sistema operativo verrà richiesto l'inserimento di un utente. Inserire l'utente studente, associato a una password di nostra scelta. Su questo account applicheremo le modifiche relative al totem. Finita l'installazione disabilitare il menu di benvenuto. Attraverso il centro di controllo (1) - gestione utenti creare l'account unife (molto importante, questo utente deve possedere i diritti d'amministratore di sistema). Terminata la configurazione del totem questo account verrà usato per monitorare ed eventualmente modificare le impostazioni della macchina. Registrare la macchina all'interno della rete, in modo che abbia la possibiltà di connettersi con la rete internet, aprire quindi il browser e registrare la macchina. Cambiare la password di root attraverso il terminale (2). Per cambiare la password di root eseguire il seguente comando: sudo passwd root e inserire una password complicata di vostra scelta. Questa password servirà in futuro per applicare determinate configurazioni al profilo studente. 3

Eseguire tutti gli aggiornamenti del sistema. Gli aggiornamenti possono essere effettuati solamente dall'amministratore di sistema, è quindi necessaria la password inserita in fase di installazione. Per un aggiornamento rapido aprire una sessione da terminale e digitare le seguenti due operazioni: sudo apt-get update seguita da sudo apt-get upgrade. Questa operazione richiede un pò di tempo, in base alla quantità di aggiornamenti disponibili. Aggiornare i pacchetti relativi alla lingua, andare quindi nel centro di controllo e aprire la sezione Language Support. Selezionare install e inserire la solita password. Riavviare la macchina per rendere effettive le modifche. 4

Fatto questo si procede con l'installazione del pacchetto ubuntu-tweak, reperibile a questo indirizzo: ubuntu-tweak.com. Scaricare il pacchetto di estensione.deb e installarlo. Creare e impostare uno sfondo desktop (con dimensione uguale alla risoluzione dello schermo) che avverta l'utenza su ciò che si può fare con la macchina totem. Questo sfondo verrà usato anche come screensaver. Un esempio di sfondo è il seguente: 5

Capitolo 2: FIREFOX In questa fase della configurazione verrà configurato il browser in modo che all'utente non sia data la possibilità di navigare al di fuori dei 3 siti prestabiliti. Per fare ciò useremo due plugin, disablemenu e redirector. Installiamo quindi i due plugin: disablemenu: https://addons.mozilla.org/it/firefox/addon/3300/ redirector: https://addons.mozilla.org/it/firefox/addon/5064/ Una volta installati i due plugin si procede con la configurazione: Eliminiamo tutti i segnalibri presenti di default nel browser, quindi andare su Segnalibri, Gestione Segnalibri, Menu segnalibri ed eliminare tutto quanto. Eliminare tutti i segnalibri presenti nell omonima barra. Inserire nei nella barra dei segnalibri gli indirizzi che verranno elencati in seguito. Per inserirli andare sulla barra dei segnalibri, premere il tasto dx del mouse/nuovo segnalibro: 1. www.unife.it 2. www.er-go.it 3. studiare.unife.it Impostare l homepage su www.unife.it attraverso le preferenze di firefox. Sempre nelle preferenze eseguire le seguenti modifiche: 1. Sicurezza: non ricordare le password dei siti 2. Privacy: non salvare mai la cronologia 3. Schede: non mostrare sempre la barra delle schede 6

Ora si passa alla configurazione dei plugin: 1. Disablemenu: con le impostazioni che verranno descritte in seguito verrà nascosta la barrà del menù di firefox, che potrà essere visualizzata per un secondo solo premendo una scorciatoia da tastiera. Per poter usare il menù bisogna interagire con esso nel secondo in cui viene attivato. Procedere come segue Strumenti/Componenti Aggiuntivi/disablemenu/preferenze: 1. Nascondere il menù principale dopo un 1 secondo. 2. Mettere (0,0) pixel come coordinate del mouse. 3. Scorciatoia segreta da tastiera per accedere al menù di firefox (es. alt+n). 4. Selezionare salva e riavvia firefox. 2. redirector: questo addon consente di eseguire una redirezione http, cioè partindo da una "blacklist" di siti vietati si impone una redirezione forzata a un indirizzo prestabilito. Nel nostro caso il sito su cui verrà fatta la redirezione è una pagina statica che si trova all indirizzo http://www.unife.it/areainformatica/studenti/totem/servizio-totem. Andare sulle preferenze dell'addon ed effettuare le seguenti modifiche: 1. Preferences/Disabilitare Show status bar icon. 2. Redirects/Add.. 1. Include Pattern: questo pattern ha lo scopo di identificare tutti i siti selezionati dall utente. Questi siti verranno vietati in quanto fanno parte della blacklist. Il pattern da inserire è il seguente: ([a-za-z]*://[a-za-z]*\.[a-za-z0-9]*\.[a-z]*) ([a-za-z]*://[a-za-z0-9]*\.[a-z]*) Vedi [Pattern01] per ulteriori informazioni. 7

2. Exlude Pattern: Questo pattern serve a determinare la whitelist, cioè i siti web che si possono raggiungere: ([a-za-z]*://[a-za-z]*\.(unife er-go)\.[a-z]*) Vedi [Pattern02] per ulteriori informazioni. 3. Redirect to: campo che indica la risorsa sul quale verrà effettuata la redirezione. Questa pagina avverte l'utente che la risorsa richiesta non è raggiungibile obbligandolo a ritornare su www.unife.it. http://www.unife.it/areainformatica/studenti/totem/servizio-totem 4. Pattern type: regular expression. Dal menu di firefox nascondere la barra degli indirizzi: premere la scorciatoia definita nel plugin disablemenu per visualizzare la barra degli strumenti poi selezionare Visualizza/Barre degli strumenti/barra degli indirizzi. 8

Terminata la configurazione il browser dovrebbe appararire come segue: 9

Capitolo 3: PANNELLO DI CONTROLLO E' ora necessario modificare le impostazioni di sistema. Per effettuare queste modifiche bisogna aprire il centro di controllo: Salvaschermo: impostare come destinazione per il salvaschermo la cartella immagini, dove deve essere necessariamente salvata l'immagine di sfondo specifica del totem. Dopo 30 minuti lo schermo non deve essere bloccato in quanto richiederebbe l'inserimento della password dell'account studente. Selezionare Gestione alimentazione e settare le opzioni presenti su Mai in modo che il totem non vada mai in pausa. Scorciatoie da tastiera: con questa opzione andiamo a eliminare tutte le scorciatoie da tastiera 10

presenti (selezionare ogni scorciatoia e premere CANC). In questo modo l'utente non avrà la possibiltà di aprire o raggiungere determinate applicazioni grazie a speciali combinazioni di tasti. Cliccare su aggiungi per creare una nuova scorciatoia: come nome inserire terminal e il comando è gnome-terminal. Una volta creata associare una combinazione di tasti segreta. In questo modo con tale combinazione sarà possibile accedere a un'istanza del terminale. Applicazioni d'avvio: in questa schermata aggiungere firefox (il cui comando da terminale è firefox) in modo che venga eseguito all'avvio del sistema. Disabilitare poi tutte le funzionalità non necessarie come i processi per la stampa,bluetooth,ricerca driver hardware,assistenza visiva,messaggio benvenuto,portachiavi,suoni e volume. Disabilitare anche il gestore reti e il gestore degli aggiornamenti, cosicchè non vengano visualizzate sul desktop le relative icone. Schermata di accesso: sbloccare e selezionare l'accesso come studente con un intervallo di 1 11

secondo. In questo modo il processo di login sarà semi-automatico, cioè la finestra di login apparirà per un secondo e automaticamente verrà effettuato l'accesso con l'account studente. Per accedere con un altro account bisognerà cliccare sulla finestra di login nell'unico secondo in cui essa appare. Tastiera: accedere a Disposizioni tastiera e impostare Italia anziché Irlanda e selezionare Opzioni Disposizione annullando la sequenza di tasti (ctrl+alt+backspace) per il Server X (è l'unica opzione in neretto). 12

Desktop remoto: deve essere possibile visualizzare e controllare da remoto il totem. Selezionare le prime due opzioni, selezionare la richiesta password e inserire la password di root, disabilitare confermare ogni accesso alla macchina e infine abilitare non visualizzare mai un'icona. (E' necessario ricordare l'ip del sistema per poter accedere alla macchina tramite VNC). Desktop Configuration Tool: disabilitare tutto per non avere collegamenti sul desktop alle varie cartelle di sistema. 13

Capitolo 4: GESTIONE BARRA APPLICAZIONI Finita la gestione del centro di controllo fare in modo che sul pannello posizionato nella base del desktop non sia presente alcuna icona o finestra. Eliminare quindi i collegamenti a: blocco note, mostra desktop, nascondere l'orologio, eliminare la voce applicazioni (in sostanza, bisogna eliminare tutto ciò che compare nella barra). Nelle proprietà del pannello selezionare la voce Nascondi automaticamente e deselezionare espandi. Riavviare il sistema per applicare le modifiche. 14

Capitolo 5: UBUNTU TWEAK In questa fase dell installazione andremo a configurare opzioni particolari, non disponibili nel centro di controllo: Usare la scorciatoia precedentemente creata per accedere al terminale. Dal terminale eseguire il comando ubuntu-tweak per aprire tale programma. 1. Disabilitare la finestra che appare in fase di apertura del programma. 2. Impostazioni d'accesso: sbloccare e selezionare come background per la schermata di login il wallpaper specifico del totem e eliminare suono di login. 3. Impostazione del gestore di finestre: personalizzare la posizione dei pulsanti nella barra del titolo deselezionando tutto quanto. Abilitare l'utilizzo del tema Metacity. Tutto il resto deve essere deselezionato. 4. Impostazione delle icone della scrivania: disattivare mostra le icone della scrivania. 15

5. Riguardo alla sicurezza (ultima voce): selezionare tutto tranne disabilitare il salvataggio su disco. 6. Impostazioni Gnome: in questa sezione abilitare solamente le opzioni Blocco completo di tutti i pannelli e mostra barra dei menu all'avvio del terminale. Tutte le altre opzioni edevono essere assolutamente disabilitate. E consigliabile eseguire questo passaggio al termine dell installazione in quanto potrebbe creare alcuni disagi durante l installazione. 16

Capitolo 6: CONFIGURAZIONI FINALI DEL SISTEMA Attenzione, tutte le impostazioni che verranno elencate successivamente verrano applicate a tutti gli utenti del sistema in quanto i file che verranno modificati sono comuni a tutti gli utenti. Eventualmente riservare nel file /etc/hosts l'indirizzo di un sito aggiuntivo da raggiungere solo in caso di necessità o manutenzione. Aprire il terminale ed eseguire le seguenti operazioni: Fare il backup delle impostazioni dell'account studente. Questa operazione va fatta al termine della prima configurazione del totem e ogni qual volta vengano apportate delle modifiche su di esso. Per fare il backup viene usata una procedura [create_studente] che compatta tutta la cartella home dello studente in un file tar. Il backup e relativa procedura viene salvato in una cartella di sistema ( es. \var\backups ) e può essere riutilizzata per fare il ripristino del sistema stesso (naturalmente tutto da utente root). Settare la procedura create_studente con chown root:root e chmod 700. Eseguire la procedura. Procedura di rispristino. Oltre alla procedura di backup bisogna creare una procedura che consenta di ripristinare le impostazioni a partire dal backup stesso. Per fare ciò bisogna inserire lo script all'interno del file /etc/rc.local, file che viene eseguito in fase di boot del sistema [rc.local]. Ovviamente il ripristino va fatto solo se necessario, quindi inizialmente lo script deve essere commentato per non essere eseguito. Per eseguirlo basta scommentarlo. Lo script in questione ha il compito di eliminare la cartella home dello studente per sostituirla con quella memorizzata nel backup. Una volta fatto il rispristino viene settato come proprietario della cartella home l'account studente. Per rendere ancora più semplice la gestione dei totem è possibile utilizzare il comando rsync per aggiornare le macchine da remoto. Nel file rc.local si può infatti aggiungere rsync in modo che il totem scarichi automaticamente le nuove impostazioni da una macchina remota, in cui l'amministratore ha caricato le nuove impostazioni. Per impostare il servizio di rsync seguire le direttive contenute nel file specifico che verrà messo a disposizione. [rsync] Per evitare inconvenienti causati da una cattiva getione del traffico è importante bloccare tutti i servizi offerti dalla macchina tranne quelli necessari per un corretto funzionamento della macchina stessa. Ricapitolando, i servizi usati sono: traffico web, rsync e vnc. Per imporre queste regole si usa iptables, componente interna del sistema operativo. Le regole sono contenute in un file [iptables] e che deve essere necessariamente messo nella cartella /var/backups. Per rendere effettive queste regole bisogna aggiungere a rc.local il comando iptables_restore, il quale le rende attive in fase di avvio della macchina. Successivamente bisogna limitare la navigazione ai soli siti per cui il totem è stato configurato. Per ottenere ciò bisogna modificare i seguenti file: 1. /etc/resolv.conf -> eliminare le voci che riguardano i dns 2. /etc/resolv.conf -> non deve essere possibile modificarlo: chattr +i /etc/resolv.conf 3. /etc/hosts -> aggiungere le seguenti voci: a) 192.167.219.48 www.unife.it b) 137.204.24.54 www.er-go.it c) 192.167.221.58 studiare.unife.it 17

Capitolo 7: PRIVILEGI STUDENTE Togliere tutti i privilegi all'utente studente. Per far ciò eseguire da terminale il seguente comando: sudo gnome-control-center. Dal centro di controllo selezionare Utenti e Gruppi, dopo di che aprire le proprietà dell'account studente. Da qui aprire la scheda Privilegi e deselezionare tutto quanto tranne connette alle reti via cavo e senza fili. Ora l'account studente è stato privato di qualsiasi privilegio. Riavviare il sistema. Appendici [Pattern01]: ([a-za-z]*://[a-za-z]*\.[a-za-z0-9]*\.[a-z]*) ([a-za-z]*://[a-za-z0-9]*\.[a-z]*) Questo pattern ha il compito di riconoscere tutti gli URL nella forma http://www.sito.organizzazione. Nello specifico lo si può suddividere in quattro parti, ognuna delle quali ha il compito di fare match con una ben precisa parte dell'url stesso. La prima parte identifica tutti i protocolli (http,https,ftp,ecc...) mentre le altre servono a identificare i domini dell'indirizzo. [Pattern02]: [a-za-z]*://[a-za-z]*\.(unife er-go)\.[a-z]* In maniera del tutto analoga al pattern01, questa regola identifica determinati URL. Questi URL vengono però abilitati per essere visualizzati dal browser. L'unica differenza sta nella parte di dominio dove vengono identificate le risorse Unife ed er-go. [vnc] Per controllare da remoto il desktop del totem installare sulla propria macchina il pacchetto vncviewer. Per usarlo richiamare il comando: vnviewer ip_totem [create_studente]: tar cvf /var/backups/studente.tar /home/studente Eseguibile tramite:./create_studente [rc.local] #!bin/bash cd / rm -dfr /home/studente tar -dfr /var/backups/studente.tar iptables-restore < /var/backups/iptable_backup chown -R studente:users /home/studente shutdown -h 18:00 exit 0 18

[iptables] # Generated by iptables-save v1.4.4 on Tue Dec 7 11:07:29 2010 # La politica di default è Deny All. # Catena di INPUT: vengono accettate le richieste per i servizi SSH(porta 22), VNC (porta 5900) e rsync(porta 873) # Per abilitare la risposta della macchina a tali richieste, è stata aggiunta la regola in OUTPUT che consente ai pacchetti RELATED,ESTABLISHED di transitare verso l'esterno. # Catena di OUTPUT: viene concesso il traffico verso i servizi DNS(porta 53), RSYNC(porta 873) e HTTP(porta 80). # Le risposte alle richieste DNS,RSYNC e HTTP vengono accettate grazie alla regola che accetta in INPUT i pacchetti RELATED/ESTABLISHED. *filter :INPUT DROP [352:39118] :FORWARD ACCEPT [0:0] :OUTPUT DROP [1:78] # regole di input -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 5900 -j ACCEPT -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT # regole di output -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # dns -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT # rsync -A OUTPUT -p udp -m udp --dport 873 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 873 -j ACCEPT # richieste web -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Dec 7 11:07:29 2010 19

[rsync] Il comando rsync, così come viene fornito dal s.o., viene bloccato da iptables. Per far si che possa funzionare deve essere utilizzato come modello client/server. In questo modo è possibile sfruttare la regola di iptables che sblocca la porta 873. Queste sono le operazioni da effettuare sul totem: - Scaricare xinetd: apt-get -y install xinetd - Nel file /etc/default/rsync editare la voce RSYNC_ENABLE=inetd - Creare il file /etc/xinetd.d/rsync, inserendo questi parametri: service rsync { disable = no socket_type = stream wait = no user = root server = /usr/bin/rsync server_args = --daemon log_on_failure += USERID } Ora che è stato creato il demone RSYNC, bisogna configurarlo: Creare il file /etc/rsyncd.conf così strutturato: motd file = /etc/rsyncd.motd # message of the day max connections = 2 log file = /var/log/rsync.log # log delle connessioni al demone rsync timeout = 300 [share] comment = totem share path = /xxxx/xxxx/xxxx # percorso della cartella da sincronizzare read only = no list = yes uid = nobody gid = nogroup use chroot = no list = yes Fare un restart del demone rsync: /etc/init.d/xinetd restart Per usare rsync: - prelevare file da totem: rsync user@iptotem::share /dest_path - inviare a totem: rsync /src_path user@iptotem::share 20