Lockdown di Gnome e Firefox

Da Faber Libertatis.

Lockdown: significa bloccare alcune funzionalità per impedire che un utente le modifichi.

E' molto utile in contesti di reti di PC per:

  • impedire gli utenti di modificare la configurazione delle interfacce (principalmente per non incorrere nel problema di dover ricostruire un'interfaccia ogni volta che cancellano un pannello per errore);
  • impedire agli utenti di modificare l'immagine sul desktop con qualcosa di innapropiato;
  • evitare che in fase di logout per errore blocchino lo schermo (in loro assenza e senza conoscerne la password è necessario riavviare la macchina) o clicchino sul cambio utente senza sapere dopo come continuare.
  • bloccare le impostazioni di sicurezza di Firefox, come ad esempio il proxy e la gestione delle password.

Indice della pagina

Lockdown di Gnome

Gnome dispone di un'utility chiamata Pessulus che permette di gestire alcune funzionalità di blocco. Purtroppo le funzionalità che gestisce sono limitate per cui non risulta molto utile.

Diversamente attraverso l'utility "Sabayon" è possibile definire dei profili per l'interfaccia utente e associarli a degli utenti ma non rendere questi profili immutabili.

Si consiglia invece di usare lo strumento "GConf-Editor" per intervenire sulle impostazioni di Gnome.

In particolare conviene prima di tutto testare con un'utenza di prova le impostazioni che si vogliono bloccare. Per farlo, avviare Gnome con un'utenza adatta, premere ALT+F2 e digitare "gconf-editor" e cliccare su Esegui.

Ecco alcune impostazioni interessanti:

  • /apps/panel/global/locked_down: se abilitato impedisce all'utente di modificare, cancellare e aggiungere pannelli;
  • /desktop/gnome/background/picture_filename: Contiene il percorso dell'immagine del desktop, se bloccata non si può più modificare;
  • /desktop/gnome/lockdown/disable_lock_screen: impedisce all'utente di eseguire il blocco dello schermo;
  • /desktop/gnome/lockdown/disable_user_switching: impedisce all'utente di eseguire il cambio dell'utente.

Gli ultimi due parametri sono interessanti, perchè per un utente di un terminale LTSP all'atto di fare il logout gli sarà permesso solo di fare "Termina sessione" senza quindi il rischio che per errore scelga "Blocca schermo" o "Cambia utente".

Una volta provate queste impostazioni, per renderle predefinite e immutabili per tutti gli utenti, è necessario eseguire gconf-editor come utente root. Quindi fare login in gnome con l'utente amministratore e poi eseguire da terminale: 

sudo gconf-editor

Selezionare dunque una per una le chiavi che si vogliono bloccare, fare clic con il tasto destro e scegliere "Imposta come vincolante" su ciascuna di esse.

Una volta terminato di selezionare e rendere vincolanti le chiavi che ci interessano, selezionare da menù File->Nuova finestra vincolanti.

Si aprirà una nuova finestra dalla quale sarà possibile modificare a nostro piacimento le chiavi bloccate della configurazione.

Nel caso scoprissimo che le chiavi che abbiamo reso vincolanti non erano quelle giuste, sarà sufficiente selezionarle, fare clic con il tasto destro e scegliere "Azzera chiave".

Per rendere operative le nuove impostazioni, terminare tutte le sessioni di Gnome e da terminale testuale (per posizionarsi eseguire CTRL+ALT+F1) fare login con l'utente amministratore e dare il seguente comando: 

sudo /etc/init.d/gdm restart

Lockdown di Firefox

Firefox 1.5 e 2.0

In genere il lockdown di firefox (1.5 e 2.0) prevede i seguenti passaggi:

  • modifica del file /usr/lib/firefox/greprefs/all.js per sostituire la riga 
pref("general.config.obscure_value", 13);

con la seguente: 

pref("general.config.obscure_value", 0);
  • Inserimento nel file /usr/lib/firefox/firefox.cfg di alcune righe

per bloccare delle impostazioni del browser, ad esempio (meglio mettere la riga con "//" all'inizio del file): 

//
lockPref("browser.startup.homepage", "http://www.google.it/");

Nota: Per altri parametri aprire il "sito" about:config da Firefox.

Firefox 3.0

Tutta sta roba non funziona in Firefox 3.0... perchè si fa così:

  • Creare un file con estensione .js nella directory

/usr/lib/firefox-3.0.3/defaults/preferences (io ho scelto di chiamarlo vendor.js) e scrivici dentro: 

//
pref("general.config.obscure_value", 0);
pref("general.config.filename", "dw-config.cfg");
  • Crea un file /usr/lib/firefox-3.0.3/dw-config.cfg e scrivi dentro

le stesse informazioni che prima si mettevano dentro a firefox.cfg. Il nome di questo file viene dichiarato dalla terza riga del file precedente.

La differenza di questa modalità che la rende migliore a quella di prima è che adesso non ci si deve preoccupare dei file con le modifiche che vengono sovrascritti ad ogni aggiornamento di Firefox.

Estratto da "http://faberlibertatis.org/wiki/Lockdown_di_Gnome_e_Firefox"