Вопрос или проблема
Я использую программное обеспечение Veyon (программа управления клиентскими компьютерами в локальной сети) на Pardus 23.2 (основано на debian 12). Для работы этой программы необходимо открытое сетевое соединение. Однако некоторые студенты отключают сетевое соединение. Как я могу это предотвратить?
У меня нет копии этой ОС, чтобы протестировать изменения в этой точной среде, но есть несколько различных способов ограничить возможность изменения сети пользователями без прав администратора в Debian.
Основанность на этом ответе, вы можете использовать PolicyKit для предотвращения изменения пользователями состояния и соединений сети. Измените группу по мере необходимости, через файл, например /etc/polkit-1/rules.d/98-manage-students.rules с помощью polkit:
polkit.addRule(function(action, subject) {
if (action.id.indexOf("org.freedesktop.NetworkManager") == 0 &&
subject.isInGroup("students")) {
return polkit.Result.NO;
}
});
Вы также можете включить автоматическое подключение для конкретного интерфейса с NetworkManager, как показано в этом ответе:
nmcli device set IFNAME autoconnect yes
Конечно, в конечном итоге, если это проводное соединение, пользователь всегда может просто отключить кабель.
Ответ или решение
Теория
Проблема отключения сети пользователями, особенно в образовательных учреждениях, имеет не только техническую, но и организационную значимость. В локальной сети, где используется программное обеспечение Veyon для контроля клиентских компьютеров, подключение к сети является критически важным для функционирования приложения. Одно из основных требований — это постоянное и стабильное сетевое соединение, иначе администратор не сможет выполнять мониторинг и управление в режиме реального времени. Вопрос о предотвращении отключения интернета студентами остается актуальным, поскольку они зачастую не должны иметь полные права на управление сетевыми настройками.
Чтобы решить эту задачу, можно использовать специальные инструменты управления доступом на уровне операционной системы, такие как PolicyKit. PolicyKit позволяет управлять правами и привилегиями пользователей, ограничивая их возможности вносить изменения в систему, включая сетевые настройки. Использование PolicyKit на базе Debian (а именно, Pardus 23.2, котоая основана на Debian 12) будет наиболее оправданным.
Пример
1. Использование PolicyKit
PolicyKit представляет собой фреймворк, который используется для предоставления или ограничения доступа к административным задачам в Linux-системах. Мы можем создать специфические правила, которые запрещают пользователям из группы "students" отключать сетевое соединение.
Чтобы это реализовать, создайте файл /etc/polkit-1/rules.d/98-manage-students.rules со следующим содержимым:
polkit.addRule(function(action, subject) {
if (action.id.indexOf("org.freedesktop.NetworkManager") == 0 &&
subject.isInGroup("students")) {
return polkit.Result.NO;
}
});Этот скрипт добавляет правило в PolicyKit, которое предотвращает выполнение действий, связанных с NetworkManager, для пользователей группы "students". Таким образом, любые попытки отключить сеть от лица студента будут заблокированы.
2. Настройка автосоединения через NetworkManager
NetworkManager — это инструмент для управления сетевыми интерфейсами. Он позволяет автоматизировать задачи по подключению к сети и может использоваться для автоматического восстановления подключения в случае его отключения.
Настройте автосоединение для конкретного интерфейса:
nmcli device set IFNAME autoconnect yesЗамените IFNAME на имя вашего сетевого интерфейса, например, eth0 или wlan0. Это позволит системе автоматически восстанавливать соединение, если оно будет разорвано.
Применение
Эти меры помешают пользователям случайно или намеренно отключить сетевое подключение. PolicyKit эффективно ограничит действия студентов, так что они не смогут изменять или отключать сетевые соединения. Это уменьшает риск нарушения связи и обеспечивает непрерывное функционирование Veyon и других сетевых сервисов, используемых в вашем учебном учреждении.
Кроме того, важно настроить физическую безопасность — контролировать доступ к сетевым кабелям и сетьевому оборудованию, так как физическое отключение всегда возможно. Можете использовать всепроницаемую сеть Wi-Fi с точками доступа на местах, к которым студенты не имеют физического доступа.
Для усиления защиты рекомендуется проводить регулярные проверки и аудиты безопасности, включая проверки на наличие ненадежных соединений или попыток нарушение сетевых политик. Системные администраторы должны также обеспечить, чтобы все изменения в политике применялись корректно, а пользователи понимали правила использования сетевых сервисов.
Внедрение таких технических и административных мер позволяет не только защитить сеть от нежелательных манипуляций, но и повысить общую безопасность инфраструктуры образовательного учреждения.