Подробный гайд: Как заблокировать оформление рабочего стола в Astra Linux
Astra Linux предоставляет несколько уровней ограничения настройки рабочего стола — от простых настроек через графический интерфейс до продвинутых механизмов безопасности. Ниже приведены основные способы блокировки оформления рабочего стола, упорядоченные по сложности и степени контроля.
Способ 1: Через графическую утилиту «Оформление Fly» (fly-admin-theme)
Базовая блокировка настроек
- Откройте меню: Пуск → Панель управления → Рабочий стол → Оформление Fly → Блокировка
2. Настройте параметры:
- «Блокировать экран» — включает все флаги блокировки
- «Через» — интервал бездействия перед блокировкой
- «При неверном пароле» — задержка между попытками ввода
- «При блокировке запретить» — запрет переключения на консоль и сетевых подключений
Установка системных настроек тем
Для принудительного применения настроек оформления для всех пользователей:
# 1. Настройте тему через fly-admin-theme под администратором
sudo fly-admin-theme
# 2. Зафиксируйте настройки в системном шаблоне
sudo cp ~/.fly/theme/current.themerc /usr/share/fly-wm/theme.master/themerc
sudo chmod 644 /usr/share/fly-wm/theme.master/themerc
Параметры из /usr/share/fly-wm/theme.master/themerc переопределяют пользовательские настройки и не могут быть изменены обычным пользователем через fly-admin-theme
Способ 2: Через конфигурационные файлы fly-wm
Глобальная блокировка через конфигурацию
Файлы конфигурации оконного менеджера находятся в:
- Системные:
/usr/share/fly-wm/ - Пользовательские:
~/.fly/или/home/<user>/.fly/
Шаг 1: Создайте/отредактируйте системные конфиги
# Редактирование основного конфига оконного менеджера
sudo nano /usr/share/fly-wm/ru_RU.UTF-8.fly-wmrc
Добавьте в секцию [Variables]:
[Variables]
; Отключение панели задач
UseTaskbar=false
; Отключение меню «Пуск»
StartButtonTitle=""
; Отключение виртуальных рабочих столов
PagingSize=0x0
; Блокировка изменения темы
;update
Шаг 2: Ограничьте меню рабочего стола
sudo nano /usr/share/fly-wm/ru_RU.UTF-8.miscrc
Пример минимизированного [DesktopMenu]:
[DesktopMenu]
"Завершение работы..." "exit" "Actions" FLYWM_EXIT
; Все остальные пункты закомментированы
Шаг 3: Примените изменения для новых пользователей
# Копирование конфигов в шаблон для новых пользователей
sudo cp ~/.fly/ru_RU.UTF-8.fly-wmrc /usr/share/fly-wm/
sudo cp ~/.fly/ru_RU.UTF-8.miscrc /usr/share/fly-wm/
Для существующих пользователей скопируйте файлы в их ~/.fly/ и установите права chmod 444 (только чтение)
Способ 3: Через fly-admin-smc (Security Management Console)
Настройка политик безопасности
1. Запустите утилиту с правами администратора:
sudo fly-admin-smc
2. Перейдите в раздел:
- Панель управления → Безопасность → Политика безопасности
3. Настройте ограничения:
- Пользователи → выбор пользователя → вкладка Киоск Fly
- Выберите режим:
- «С рабочим столом» — ограничение в рамках рабочего стола
- «Только с программой» — запуск единственного приложения (режим терминала)
Применение через консоль (fly-kiosk)
# Для локального пользователя
fly-kiosk -u username --action lock --home /home/username
# Для доменного пользователя с мандатными уровнями
fly-kiosk -u ald_user --action lock --home /ald_home/ald_user
fly-kiosk -u ald_user --action lock --home /home/.pdp/ald_user/l1i0c0x0t0x0
Способ 4: Блокировка через права доступа к файлам
Запрет изменения ярлыков и фона рабочего стола
# 1. Сделайте каталог рабочего стола и конфигурацию только для чтения
sudo chown -R root:root "${HOME}/.config/user-dirs.dirs" "${HOME}/Desktops"
sudo chmod -R o-rwx,gu+rwX "${HOME}/.config/user-dirs.dirs" "${HOME}/Desktops"
# 2. Настройте ACL для точечного доступа
sudo setfacl -R -m u:${USER}:rX "${HOME}/.config/user-dirs.dirs" "${HOME}/Desktops"
sudo setfacl -R -m d:u:${USER}:rX "${HOME}/.config/user-dirs.dirs" "${HOME}/Desktops"
# 3. Установите атрибут неизменяемости (опционально)
sudo chattr +i "$HOME/.config/user-dirs.dirs" "$HOME/Desktops"
Блокировка тем оформления
# Запрет записи в пользовательские темы
chmod 555 ~/.fly/theme/
chmod 444 ~/.fly/theme/*.themerc
# Для системного уровня
sudo chmod 555 /usr/share/fly-wm/theme.master/
sudo chmod 444 /usr/share/fly-wm/theme.master/*.themerc
Способ 5: Полная блокировка через режим «Киоск-2» (parsec-kiosk2)
Установка и настройка
# Установка пакета (если не установлен)
sudo apt install parsec-kiosk2
# Создание профиля киоска
sudo nano /etc/parsec/kiosk2/username
Пример профиля:
[restrictions]
desktop_customization=deny
theme_change=deny
wallpaper_change=deny
panel_edit=deny
context_menu=deny
hotkeys=system_only
Применение профиля
# Активация профиля для пользователя
sudo mkiosk --apply username
# Перезагрузка сессии пользователя
loginctl terminate-user username
Автоматическое применение настроек при входе
Механизм ;update в конфигурациях
Добавьте строку ;update в начало системных конфигов в /usr/share/fly-wm/:
;update
[Variables]
UseTaskbar=false
...
При каждом входе пользователя эти файлы будут автоматически перезаписывать пользовательские настройки
Использование theme.update для выборочного обновления
# Создание файла с параметрами для обновления
sudo mkdir -p /usr/share/fly-wm/theme.update/
sudo nano /usr/share/fly-wm/theme.update/current.themerc
Содержимое:
[Variables]
WallPaper="/usr/share/backgrounds/corporate/wallpaper.jpg"
ThemeName="CorporateLock"
Файлы в theme.update/ с более новой датой модификации автоматически заменят соответствующие пользовательские параметры при входе
Дополнительные меры защиты
1. Отключение горячих клавиш
# Редактирование горячих клавиш
sudo nano /usr/share/fly-wm/ru_RU.UTF-8.fly-wmrc
Закомментируйте или удалите сочетания:
;[ShortCutKeys]
;Alt|F4 = FLYWM_CLOSE
;Super|L = FLYWM_LOCK
2. Блокировка доступа к fly-admin-* утилитам
# Ограничение запуска утилит настройки
sudo chmod 700 /usr/bin/fly-admin-theme
sudo chmod 700 /usr/bin/fly-admin-hotkeys
sudo chmod 700 /usr/bin/fly-admin-winprops
# Разрешение только для группы admin
sudo chgrp admin /usr/bin/fly-admin-*
3. Запрет изменения через polkit
Создайте правило polkit:
sudo nano /etc/polkit-1/rules.d/99-astra-lock-theme.rules
polkit.addRule(function(action, subject) {
if (action.id.indexOf("fly-admin-theme") >= 0) {
if (subject.isInGroup("admin")) {
return polkit.Result.YES;
}
return polkit.Result.NO;
}
});
Сводная таблица методов
| Метод | Уровень | Применимость | Сложность |
|---|---|---|---|
| fly-admin-theme | Базовый | Все версии | Низкая |
| Конфиги fly-wm | Средний | SE 1.5+ | Средняя |
| fly-admin-smc | Высокий | Спец. версии | Высокая |
| Права файлов | Высокий | Все версии | Средняя |
| parsec-kiosk2 | Максимальный | Специальные редакции | Очень высокая |
Важные замечания
- Тестируйте изменения на тестовом пользователе перед применением в продакшене.
- Резервное копирование: перед изменением системных конфигов создайте их копии.
- Мандатные уровни: при работе с уровнями конфиденциальности учитывайте, что пути к домашним каталогам отличаются (
/home/.pdp/...). - Доменные пользователи: для ALD/FreeIPA используйте
fly-kioskс указанием полных путей к мандатным каталогам - Режим ЗПС: в режиме замкнутой программной среды некоторые настройки могут быть недоступны без предварительного снятия ограничений
Полезные ссылки
- Официальная документация: wiki.astralinux.ru
Рекомендация:
Для корпоративного развёртывания используйте ALD Pro с групповыми политиками для централизованного управления настройками рабочего стола
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.