主页 / server / 问题 / 672882
Accepted
aseq
Asked: 2015-03-04 18:05:22 +0800 CST

限制用户更改 xscreensaver 设置

  • 772

我想知道人们提出的任何解决方案,以限制用户更改 xscreensaver 的系统范围配置。我的部分工作是管理要求桌面在大约 10 分钟内锁定并且只能使用密码解锁的系统。我想使用一个屏幕保护程序,并且考虑到 xscreensaver 具有成熟的代码库非常安全,这是一个合乎逻辑的选择。

我在 /etc/X11/app-defaults/XScreenSaver* 中创建了适当的设置,但问题是用户仍然可以通过运行 xscreensaver-demo 或编辑 ~/.xscreensaver 来更改他们的个人偏好。

我知道有一种黑客的方法可以做到这一点,从 /usr/bin/xscreensaver-demo 中删除可执行权限并将 ~/.xscreensaver 的所有权更改为 root。

如果这是唯一可行的方法,我将如何在用户初始登录时(在 redhat 和 debian/ubuntu 中)创建具有 root 所有权的 ~/.xscreensaver?

linux

2 个回答

  1. 如果您的用户的主目录位于本地磁盘上,或者它们托管在您拥有 sudo/root 权限的 Linux NFS 服务器上,那么您可以将每个 ~/.xscreensaver 文件设置为“不可变”。

    sudo chattr +i /home/username/.xscreensaver

    这将阻止用户对其进行修改,以及删除/移动/重命名它。

    参考:http ://sattia.blogspot.com/2015/01/how-to-make-file-immutable-on-linux.html

    • 1
  2. Best Answer

    看起来这是不可能的。我确实最终稍微修改了 xscreensaver 的源以强制某些设置。我尝试使用侵入性最小的方式来实现这一点,而对源代码的修改最少。这仍然允许用户配置屏幕保护程序的许多部分,而不是关于屏幕锁定和超时的部分。

    在源代码树中找到文件driver/prefs.c并在其中查找函数write_init_file。在该函数中找到这些行:

    if (!pr || !*pr)          ;
CHECK("timeout")          type = pref_time, t = p->timeout;
CHECK("cycle")            type = pref_time, t = p->cycle;
CHECK("lock")             type = pref_bool, b = p->lock_p;
CHECK("lockTimeout")      type = pref_time, t = p->lock_timeout;
(..)
CHECK("mode")             type = pref_str,
                          s = (p->mode == ONE_HACK ? "one" :
                               p->mode == BLANK_ONLY ? "blank" :
                               p->mode == DONT_BLANK ? "off" :
                               p->mode == RANDOM_HACKS_SAME
                               ? "random-same"
                               : "random");

    并更改为以下源示例。这将阻止这些设置被保存到用户主目录中的 .xscreensaver 文件中。然后,只要将系统范围的默认设置设置为您喜欢的任何设置,xscreensaver 就会继续使用这些设置来代替 .xscreensaver 文件中的配置。

    if (!pr || !*pr)          ;
CHECK("timeout")          continue; /* don't save */
CHECK("cycle")            continue; /* don't save */
CHECK("lock")             continue; /* don't save */
CHECK("lockTimeout")      continue; /* don't save */
(..)
CHECK("mode")             type = pref_str,
                          s = (p->mode == ONE_HACK ? "one" :
                               p->mode == BLANK_ONLY ? "blank" :
                               p->mode == DONT_BLANK ? "blank" : /* prevents xscreensaver from being disabled, will force to blank */
                               p->mode == RANDOM_HACKS_SAME
                               ? "random-same"
                               : "random");

    找到名为load_init_file的函数并更改行:

    else if (s && !strcasecmp (s, "off"))         p->mode = DONT_BLANK;

    至:

    else if (s && !strcasecmp (s, "off"))         p->mode = BLANK_ONLY;

    现在找到恰当命名的函数stop_the_insanity,它将一些偏好值设置回正常值,例如超时 > 15 秒将被强制为 15 秒。这是确保当用户手动编辑 .xscreensaver 文件而不是使用 xscreensaver-demo 时,xscreensaver 不会使用这些值的好地方,而是使用我们的“正常”值。

    在函数stop_the_insanity 中添加类似这样的内容,如果需要,可以使用您自己的值。请注意,时间的值是秒*1000。在用户将模式设置为“关闭”的情况下,我们已经将其强制返回为空白。

    if (p->timeout > 600000) p->timeout = 600000;
if (p->lock_timeout > 0) p->lock_timeout = 0;
if (! p->lock_p) p->lock_p = True;

    关于在初始登录时创建具有 root 所有权的 .xscreensaver,我认为这实际上是不可能或不可取的。您可以在 /etc/profile.d 中创建一个脚本,该脚本将在用户登录时创建一个空的 .xscreensaver。但是上面提到的改变使得这没有必要。

    • 0

相关问题