麒麟kylinos系统可通过三种方式实现家长控制:一、用kylin-policy-editor启用应用访问限制并设白名单;二、建受限用户与组,配合access.conf和setfacl实施权限隔离;三、部署app-guard.sh启动拦截脚本实现运行时白名单校验。
如果您希望在麒麟kylinos系统中对用户行为进行监管,限制不当应用使用、网页访问或系统操作,则需借助系统内置的权限管理与策略控制机制。以下是实现家长控制功能的具体方法:
一、通过组策略编辑器启用基础限制策略
麒麟KYLINOS(教育版V10)基于Linux内核,但面向教育场景预置了部分Windows风格策略管理能力,可通过图形化策略工具对文件资源管理器、软件安装等关键行为施加约束,适用于教师或管理员对教学终端实施统一管控。
1、按下 Ctrl + Alt + T 打开终端;
2、输入命令 sudo kylin-policy-editor 并回车,启动策略编辑器(需输入管理员密码);
3、在左侧导航栏依次展开:系统配置 → 用户行为控制 → 应用访问限制;
4、双击右侧“禁止运行指定程序”,点击“启用”,在弹出窗口中点击“添加”,输入待禁用程序的完整路径(如 /usr/bin/firefox)或二进制名称;
5、勾选“启用白名单模式”后,仅允许列表中程序运行,其余全部拦截;
6、点击“应用”并重启用户会话使策略生效。
二、利用用户组与权限隔离实现分级管控
通过创建受限用户并将其加入特定系统组,可从底层限制其对敏感目录、设备及系统服务的访问权限,符合Linux最小权限原则,是麒麟系统原生、高可靠性的家长控制方式。
1、以管理员身份打开终端,执行 sudo useradd -m -s /bin/bash -G restricted_user student01 创建受限用户student01;
2、运行 sudo groupadd restricted_user 创建专用限制组;
3、编辑权限控制文件:sudo nano /etc/security/access.conf;
4、在文件末尾添加行:- : student01 : ALL EXCEPT LOCAL,禁止该用户远程登录及跨主机访问;
5、执行 sudo setfacl -R -m u:student01:--- /opt /usr/local /root 彻底移除其对系统扩展目录与管理员目录的读写执行权限;
6、重启目标用户会话验证限制效果。
三、部署应用级白名单与启动拦截脚本
针对教育终端需严格限定仅运行教学软件的场景,可通过系统级启动拦截机制,在每次应用程序调用前校验其签名与路径合法性,实现细粒度运行时控制。
1、创建校验脚本:sudo nano /usr/local/bin/app-guard.sh;
2、写入内容:#!/bin/bash\nWHITELIST="/usr/bin/kylin-teaching-suite /usr/bin/wps-office /usr/bin/firefox";
3、追加判断逻辑:if [[ "$WHITELIST" != *"$1"* ]]; then echo "Access denied"; exit 1; else exec "$@"; fi;
4、保存后执行 sudo chmod +x /usr/local/bin/app-guard.sh;
5、修改用户shell为该脚本:sudo usermod -s /usr/local/bin/app-guard.sh student01;
6、注销student01账户并重新登录,此后所有命令行启动的应用均受白名单实时校验。
