如何加固Ubuntu桌面？

Question

8

我们计划在一所大学安装80台Ubuntu桌面电脑。管理层告诉我们要尽可能加固Ubuntu桌面，例如用户不能自定义系统设置，比如更改壁纸、主题等等。请大家分享一下在加固Ubuntu系统方面的建议，这对我构建一个良好的桌面系统将非常有帮助。提前感谢大家。

需要完成的任务：

- 限制用户更改壁纸和主题 - 限制用户添加/删除系统面板 - 限制用户安装/删除软件包 - 禁用USB存储设备 - 在系统壁纸的右下角以粗体显示系统IP地址。

- karthick87

2从当前的形式来看，这个问题似乎是可以回答的。请更详细地阐述，以便我们能够帮助你。 - jrg

是的。绝对需要知道您需要支持哪些应用程序。Kiosk模式可能是一个很好的基础参考。这里有一个教程：http://www.instructables.com/id/Setting-Up-Ubuntu-as-a-Kiosk-Web-Appliance/ - RobotHumans

我想建议使用自助服务模式（AU上有相关主题讨论）。另外，你也可以考虑使用Gofris：http://www.upubuntu.com/2011/07/install-gofris-on-ubuntu-1104-to.html （通过它，你可以将会话重置为默认设置）。 - Rinzwind

1个回答

- Florian Diesch · Accepted Answer

一些一般要点：

Gnome3（Ubuntu 11.10及更高版本 - Unity基于Gnome）使用dconf来存储其设置。请参阅dconf系统管理员指南中的“锁定”部分，了解如何锁定设置以防止用户更改它们。

使用dconf-editor（软件包dconf-tools）查看可用选项。

对于Gnome2（适用于Ubuntu 11.04之前），有GNOME锁定和预配置桌面管理员指南。

在Gnome3中，大部分描述的配置选项不再使用，但由于某些程序（如Compiz）仍然使用Gnome2的GConf，因此“启用锁定”部分可能仍然相关。

使用gconf-editor查看存储在GConf中的选项。

还可以查看PolicyKit和AppArmor，以了解一些更通用的方法，用于授予和撤销用户和程序的特权。

要禁用USB存储设备的黑名单，只需禁用usb_storage内核模块即可，具体操作请参考modprobe.conf manpage。