Xsession warning unable to write to tmp x session may exit with an error

Включил компьютер, все по плану. Запустился, открылось окно входа для введения логина и пароля. Ввел нужные данные и получил — ошибка: X session: warning: unable to write to /tmp ….

Сразу мысль о том, что вся проблема в недавнем обновлении. Забегу вперед и скажу, что проблема совсем не в обновлении и не в системе.

Обновил систему — все работает, перезагрузился и ….

Вот такое окно появляется при попытке запустить графический интерфейс системы, после ввода логина и пароля.

Способ первый как разрешить вопрос с этой ошибкой

Первое, что пришло в голову восстановить систему из последнего бэкапа. Загрузился с Live образа Linux Mongaro.

Можно с любого Linux который грузится в режиме Live, с флешки или диска. Просто у меня под рукой был Mongaro.

После запуска открыл программу Timeshift, далее для восстановления системе надо указать где хранится архив.

Если выбрать ранее созданную архивную копию, то программа Timeshift восстановит ее и проблема будет решена.

Подробная процедура по работе с бэкапами описана мною ранее в этой статье.

Выясняем, что значит эта ошибка

Тут то я и задумался, а может все же почитать что это за ошибка? Восстановить то я всегда успею.

Открываю браузер и первым делом перевожу, что написано на не ведомом языке.

Из перевода понятно, что нет места в корневом разделе для записи новых данных.

Думаю не ужели обновления сожрали пол диска оставленного под корневой раздел, а это 20Гб.

До обновления 50% диска было свободно.

Способ второй как разрешить вопрос с этой ошибкой

Загружаюсь снова в систему и открываю терминал не входя в систему сочетанием клавиш Ctrl+Alt+F3

В терминале ввожу логин, пароль и выполняю пару команд для очистки системы

sudo apt autoclean

Вторая команда удалит не нужные системе пакеты

sudo apt autoremove

После перезагрузки системы, как правило, такая ошибка пропадает, ведь свободное место должно было появится.

Но не тут то было все осталось в прежнем состоянии.

Как я решил проблему и почему у меня появилась эта ошибка

Стал вспоминать, что делал перед последним выключением компьютера.

Что-то же сожрало свободное место?

Запустился снова в Live режиме с флешки и начал просматривать каталоги по датам и времени изменения .

Проблему нашел почти сразу. Систему полностью забило резервными копиями программы Timeshift.

Нет это не сбой программы и не вредоносное ПО.

Я сам нечаянно при просмотре данных и настройках где-то, нажал или кликнул мышкой. В результате программа Timeshift по расписанию записала последнюю копию прямо в корневой раздел.

Переместил все резервные копии системы в нужное хранилище, удалив их из корневого раздела.

Запустил систему в обычном режиме.

Система запустилась без всяких проблем.

Еще раз убеждаюсь, что Linux намного надежнее и стабильнее windows. Все косяки, как правило в linux мы делаем сами, из любопытства, ставя эксперименты.

Иногда по не знанию, пытаясь решить проблему быстро, здесь и сейчас, не думая.

Естественно после нормального запуска, я сразу поменял настройки в программе Timeshift.

Больше такого не повторялось.

Если есть, что добавить или поделится опытом пишите в комментариях.

Если есть целый рассказ на странице обратной связи можете загрузить текст. Если рассказ интересен или содержит познавательную информацию, то он будет опубликован на страницах сайта.

Всем Удачи.

6 апреля 2021

После загрузки системы поверх сообщений ядра появляется окошко с таким сообщением:
Xsession: warning: unable to write to /tmp; X session may exit with an error
и кнопкой «okay».
Последнее, что выполнялось перед этим — виртуалка в kvm. Она зависла, я попытался ее завершить, не получилось, нажал reset, и поймал эту ошибку при следающей загрузке. Сделал

sudo эрэм эрэф /tmp/*
sudo apt clean после этого компьютер нексколько раз загрузился нормально, а потом опять перестал и эти команды уже не помогли.
При этом невозможно записать ни один файл (создать, скопировать) на разделе, примонтированном как / (корень). На /home/ файлы пишутся, он вынесен в отельный раздел. Автодополнение по Tab работает через раз. При этом под рутом можно создать файл где угодно. Даже sudo startx запускает иксы, хотя и очень медленно.

$ echo "test file" > /tmp/test.txt
-bash: echo: ошибка записи: На устройстве не осталось свободного места
$ ls -sh /tmp/
итого 8,0K
    <показывает несколько файлов и среди них ...>
    0 test.txt
$ sudo echo "test file" > /tmp/test.txt
$
$ ls -sh /tmp/
итого 12K
    <эти же файлы, но ...>
    4,0K test.txt
Т.е. когда пытаюсь под своим пользователем сохранить файл, он создается, но в него ничего не пишется, размер 0 байт.

$ df
Файл.система   1K-блоков Использовано  Доступно Использовано% Cмонтировано в
udev             1707792            0   1707792            0% /dev
tmpfs             353692         2944    350748            1% /run
/dev/sda2       97904924     93548620         0          100% /
tmpfs            1768460            0   1768460            0% /dev/shm
tmpfs               5120            4      5116            1% /run/lock
tmpfs            1768460            0   1768460            0% /sys/fs/cgroup
/dev/sda1          94759         4706     90053            5% /boot/efi
/dev/sda4      354042372    233094932 102893348           70% /home
tmpfs             353692            0    353692            0% /run/user/1000
При этом на самом деле файлов столько нет:

$ du -sh /*
12M /bin
140M /boot
4,0K /cdrom
0 /dev
12M /etc
223G /home
0 /initrd.img
0 /initrd.img.old
766M /lib
5,8M /lib32
4,0K /lib64
6,5M /libx32
16K /lost+found
8,0K /media
4,0K /mnt
63G /opt
0 /proc
12M /root
2,9M /run
15M /sbin
8,0K /snap
4,0K /srv
0 /sys
40K /tmp
5,6G /usr
21G /var
0 /vmlinuz
0 /vmlinuz.old

Загрузился с флешки и

fsck -n /dev/sda2 Ошибок не нашлось.

Вход только из под рута.

Доброго времени. Ребят запутался , вот такая ситуация ,
у меня вход только из под рута,
когда пытаюсь войти из под юзьверя ,-
выдаёт «Xsession warning unable to write to /tmp; x session may exit with an error»
А началось всё после установке софта- aircrack-ng и компиляции вина,
я использовал не проверенный ресурс(теперь больше не когда не буду слушать блогеров)

# uname -a Linux roswel 3.16.0-4-amd64 #1 SMP Debian 3.16.51-3 (2017-12-13) x86_64 GNU/Linux
даже иксы поначалу не запускались ,но я всё по удалял,-
даже удалил папку tmp,музыку ,
Теперь только из под рута могу войти ,потерял допуск к многому.
что ещё можно тут сделать ,чтобы востановится можете сказать?

У меня была синхронизация с облаком на 50 гектаров, может быть и за этого ?

больше не когда не буду слушать блогеров

А вдруг тут ответит блогер, замаскированный под форумчанина? Нет, никого слушать нельзя, а то опять /tmp с музыкой удалять придется. Только сам!

теперь больше не когда не буду слушать блогеров

Был хоть 1 повод их слушать?

А началось всё после установке софта- aircrack-ng и компиляции вина,

Как это так? Давай bashrc (или какой там у тебя шел) с историей команд.

вход только из под рута
потерял допуск к многому

Selinux настраиваешь штоле ?

«Xsession warning unable to write to /tmp; x session may exit with an error»

И что тут не понятного? Ты сломал /tmp. В tty то юзер нормально логинится?

Источник

Ошибка — xsession warning unable to write to tmp

Включил компьютер, все по плану. Запустился, открылось окно входа для введения логина и пароля. Ввел нужные данные и получил — ошибка: X session: warning: unable to write to /tmp ….

Сразу мысль о том, что вся проблема в недавнем обновлении. Забегу вперед и скажу, что проблема совсем не в обновлении и не в системе.

Обновил систему — все работает, перезагрузился и ….

Вот такое окно появляется при попытке запустить графический интерфейс системы, после ввода логина и пароля.

Способ первый как разрешить вопрос с этой ошибкой

Первое, что пришло в голову восстановить систему из последнего бэкапа. Загрузился с Live образа Linux Mongaro.

Можно с любого Linux который грузится в режиме Live, с флешки или диска. Просто у меня под рукой был Mongaro.

После запуска открыл программу Timeshift, далее для восстановления системе надо указать где хранится архив.

Если выбрать ранее созданную архивную копию, то программа Timeshift восстановит ее и проблема будет решена.

Подробная процедура по работе с бэкапами описана мною ранее в этой статье.

Выясняем, что значит эта ошибка

Тут то я и задумался, а может все же почитать что это за ошибка? Восстановить то я всегда успею.

Открываю браузер и первым делом перевожу, что написано на не ведомом языке.

Из перевода понятно, что нет места в корневом разделе для записи новых данных.

Думаю не ужели обновления сожрали пол диска оставленного под корневой раздел, а это 20Гб.

До обновления 50% диска было свободно.

Способ второй как разрешить вопрос с этой ошибкой

Загружаюсь снова в систему и открываю терминал не входя в систему сочетанием клавиш Ctrl+Alt+F3

В терминале ввожу логин, пароль и выполняю пару команд для очистки системы

Вторая команда удалит не нужные системе пакеты

После перезагрузки системы, как правило, такая ошибка пропадает, ведь свободное место должно было появится.

Но не тут то было все осталось в прежнем состоянии.

Как я решил проблему и почему у меня появилась эта ошибка

Стал вспоминать, что делал перед последним выключением компьютера.

Что-то же сожрало свободное место?

Запустился снова в Live режиме с флешки и начал просматривать каталоги по датам и времени изменения .

Проблему нашел почти сразу. Систему полностью забило резервными копиями программы Timeshift.

Нет это не сбой программы и не вредоносное ПО.

Я сам нечаянно при просмотре данных и настройках где-то, нажал или кликнул мышкой. В результате программа Timeshift по расписанию записала последнюю копию прямо в корневой раздел.

Переместил все резервные копии системы в нужное хранилище, удалив их из корневого раздела.

Запустил систему в обычном режиме.

Система запустилась без всяких проблем.

Еще раз убеждаюсь, что Linux намного надежнее и стабильнее windows. Все косяки, как правило в linux мы делаем сами, из любопытства, ставя эксперименты.

Иногда по не знанию, пытаясь решить проблему быстро, здесь и сейчас, не думая.

Естественно после нормального запуска, я сразу поменял настройки в программе Timeshift.

Больше такого не повторялось.

Если есть, что добавить или поделится опытом пишите в комментариях.

Если есть целый рассказ на странице обратной связи можете загрузить текст. Если рассказ интересен или содержит познавательную информацию, то он будет опубликован на страницах сайта.

Источник

CrunchBang Linux

SEARCH

You are not logged in.

#1 2014-06-02 04:27:44

[SOLVED] Xsession warning: unable to write to /tmp

So, that happened today. AbiWord glitched and crashed, and when I restarted, I got:

Xsession: warning: unable to write to /tmp; xsession may exit with an error

It was awful, because I could no longer get online, could not open a terminal, could not use my password. everything was terrible. Anyway, I solved all that by using a LiveCD to get into my root folder and delete some stuff (Linux games, in this case. Actually, /tmp and /trash were already empty.)

That’s by way of background. I’m able to use the computer again, but my root folder is constantly running very full, and I’m not sure if I can do something about it. It’s currently 8.46GiB out of 9.17GiB. Is that common? I have a plenty big-enough hard drive (maybe I can re-size that partition?)

Looking at Baobab, /usr is 4.7 GB and /var is 3.8 GB. Are these normal numbers? Do I just have too many programs installed?

I’m afraid the Disk Usage is going to climb again, and things will start crashing again. I’d love any guidance. Hi, friends!

By the way, I’m running Sid. and it might be some unholy combination of Sid and Wheezy repos. I’ve made some messes here and there.

Last edited by Flipflop McFly (2014-06-09 17:36:37)

#2 2014-06-02 05:10:16

Re: [SOLVED] Xsession warning: unable to write to /tmp

Are the 8.46G and 9.17G reported by df -h as «Used» and «Size» respectively? What matters is the «Avail» column. Commonly, part of the rootfs is reserved for root as to keep the system fixable if the space for non-root users runs out. You can change that with tune2fs -m $percentage where $percentage indicates the share of blocks to be reserved for root, in order to free up some extra space.

If your problem is a large /tmp though and you don’t want to enlarge your root partition (which is cumbersome), I simply recommend mounting a tmpfs at /tmp and as another option, moving /home to a new partition. (Here’s a #! thread on moving /home).

10G are usually enough for the system itself, apart from user data.

tmpfs is a filesystem that resides in RAM and, if it gets too full, overflows into SWAP space. It provides vastly increased I/O performance on /tmp (because it’s all in memory) and can be accomodated by even smaller amounts of RAM (supposing you don’t to video editing or otherwise space-heavy tasks on /tmp). Here’s how to:

Add a line to /etc/fstab:

where rw means mount as readable&writable, nosuid means to not allow suid binaries in /tmp, mode=0777 means to be world readable+writable and size=4G specifies the maximum size of the tmpfs that it can occupy in RAM. Note that this is not the absolute size but the maximum size; the tmpfs occupies originally only a few bytes and grows to that size as you use it. After it exceeds that size, it overflows into SWAP (good to have) and basically functions as a plain old on-disk /tmp. Think of the tmpfs as a heavily memory-buffered /tmp. If you have more than 4G of RAM, it is safe to specify half the size of your total RAM (8G -> size=4G), otherwise I have had good experiences with the following sizes:

After adding the line to fstab, log out of your xsession, change to a tty Ctrl+Alt+F1, login, stop your display server (sudo service slim stop, sudo service xdm stop or whatever you use) – this is because X creates a UNIX domain socket in /tmp –, complete erase the contents of /tmp (sudo rm -rf /tmp/*) – be careful not to delete the /tmp folder itself –, then reboot with sudo reboot to get the tmpfs up and running or without rebooting, do

Press Ctrl+Alt+f7 to go back to your X display.

After this, df -h should print a «tmpfs» line like this:

where the sizes are specific to your system, of course.

Last edited by twoion (2014-06-02 05:12:11)

Источник

[РЕШЕНО] KUbuntu 9.10 перестала загружаться после обновления (unable to write to /tmp)

Пару дней назад установил обновление безопасности какое-то через KPackageKit. После этого пропала графическая оболочка (раб. стол, панельки все, просто чёрный экран вместо них), хотя курсор мыши и окна запущенных программ остались, можно было переключаться и всё такое, даже куб работал. Почуяв неладное, перезагрузил комп (вот уж не помню, как — «программно» или ресетом), загрузилось всё, появилось окно ввода логина и пароля, когда ввёл и нажал Enter, появилось маленькое окошко, гласившее «Xsession: warning: unable to write to /tmp; Xsession may exit with an error», и кнопочка okay, нажатие на которую возвращает к вводу логина и пароля. Такие дела.

В GRUB есть 3 версии ядра, последняя — как раз после этого рокового обновления (если надо, могу глянуть версию), то есть до этого обновлял разок, сразу как установил. Установил сисему пару недель назад, на отдельный раздел винта, на том же винте стоит WIN XP, хотя это вряд ли важно.

Загрузка предыдущих версий ядра ничего нового не даёт — всё то же самое.
А, ещё попробовал загрузиться в recovery mode, успешно залогинился через командную строку, ввод команды startx приводит всё к тому же окошку (при этом меняется разрешение экрана, то есть типа стартует оболочка, я так понял). Okay возвращет снова к командной строке (команды вроде работают обычные, попробовал).

Систему поставил чтобы баловаться, сам я нуб, проприетаные дрова на видео (карта nvidia) поставил, всё работало нормально. Не хотелось бы переустанавливать, я думаю, можно как-то это вылечить, хотя в инете не нашёл ничего по своей проблеме. Сам я понял, что отвалилась графическая оболочка.

За темой буду следить, буду рад любым советам, заранее спасибо.

Источник

Как я могу предотвратить .xsession-errors не использовать дисковое пространство?

Есть ли способ полностью отключить файл .xsession-errors? Я использую его как символическую ссылку на / tmp, чтобы жесткий диск моего ноутбука мог (надеюсь) один раз засыпать, но, по крайней мере, 95% содержимого файла (оно заполняется со скоростью около 500 КБ в час) .

что для меня полная чушь. Я попытался создать символическую ссылку на / dev / null, но это не работает (результирующая ссылка перезаписывается), и я также не хочу выполнять эту операцию, так что, надеюсь, мой ноутбук на этот раз может заснуть.

Я использую Ubuntu 11.04 без специальных надстроек для Nautilus.

Я нашел временное решение.

Я поместил небольшой скрипт в /etc/X11/Xsession.d named, 91redirect-xsession-errors который сейчас выполняет эту работу, но если вы хотите иметь собственную пользовательскую символическую ссылку, .xession-errors она не работает для этого (я пытался и не выводил никаких данных).

Это немного «грубо и готово», но это делает работу для меня. Обратите внимание, что это единственный файл, который был изменен.

Существует файл с именем / etc / X11 / Xsession. Который создаст символическую ссылку на файл tmp. IE. Начинается по строке № 61

Вы можете скопировать этот файл Xsession в Xsession.bak. Затем идите головой и укажите свой ERRFILE на / dev / null IE. Линия 83

Я столкнулся с той же проблемой на сервере redhat linux 6.4, но я могу определить, какая папка или пользователь занимает больше места, с помощью этой команды «find / -xdev -type f -size + 100000000c -exec ls -lh <> ;» Затем я удалил вручную x ошибок сеанса с помощью команды rm -rf

Обратите внимание, что удаление файла .xsession-errors не освобождает место до перезагрузки системы, если процесс все еще выполняет запись в файл. Используйте echo, чтобы перезаписать содержимое файла, чтобы установить для файла один символ. Пока процесс записи в .xsession-errors не остановится, файл снова начнет расти. Я должен остановить Remmina, затем обрезать файл, и я вернулся к работе. Примечание также помогает, если вы установите предельный размер файла в несколько гигабайт, чтобы ваш файл .xsession-errors не мог подать на диск и привести к сбою системы. Все еще ищу ответ на эту проблему вируса, встроенного, по-видимому, во все операционные системы Linux. Звучит так, будто разработчики Microsoft вносят свой вклад в Linux . 😉

Источник

Ошибка — xsession warning unable to write to tmp

Включил компьютер, все по плану. Запустился, открылось окно входа для введения логина и пароля. Ввел нужные данные и получил — ошибка: X session: warning: unable to write to /tmp ….

Сразу мысль о том, что вся проблема в недавнем обновлении. Забегу вперед и скажу, что проблема совсем не в обновлении и не в системе.

Обновил систему — все работает, перезагрузился и ….

Вот такое окно появляется при попытке запустить графический интерфейс системы, после ввода логина и пароля.

Способ первый как разрешить вопрос с этой ошибкой

Первое, что пришло в голову восстановить систему из последнего бэкапа. Загрузился с Live образа Linux Mongaro.

Можно с любого Linux который грузится в режиме Live, с флешки или диска. Просто у меня под рукой был Mongaro.

После запуска открыл программу Timeshift, далее для восстановления системе надо указать где хранится архив.

Если выбрать ранее созданную архивную копию, то программа Timeshift восстановит ее и проблема будет решена.

Подробная процедура по работе с бэкапами описана мною ранее в этой статье.

Выясняем, что значит эта ошибка

Тут то я и задумался, а может все же почитать что это за ошибка? Восстановить то я всегда успею.

Открываю браузер и первым делом перевожу, что написано на не ведомом языке.

Из перевода понятно, что нет места в корневом разделе для записи новых данных.

Думаю не ужели обновления сожрали пол диска оставленного под корневой раздел, а это 20Гб.

До обновления 50% диска было свободно.

Способ второй как разрешить вопрос с этой ошибкой

Загружаюсь снова в систему и открываю терминал не входя в систему сочетанием клавиш Ctrl+Alt+F3

В терминале ввожу логин, пароль и выполняю пару команд для очистки системы

Вторая команда удалит не нужные системе пакеты

После перезагрузки системы, как правило, такая ошибка пропадает, ведь свободное место должно было появится.

Но не тут то было все осталось в прежнем состоянии.

Как я решил проблему и почему у меня появилась эта ошибка

Стал вспоминать, что делал перед последним выключением компьютера.

Что-то же сожрало свободное место?

Запустился снова в Live режиме с флешки и начал просматривать каталоги по датам и времени изменения .

Проблему нашел почти сразу. Систему полностью забило резервными копиями программы Timeshift.

Нет это не сбой программы и не вредоносное ПО.

Я сам нечаянно при просмотре данных и настройках где-то, нажал или кликнул мышкой. В результате программа Timeshift по расписанию записала последнюю копию прямо в корневой раздел.

Переместил все резервные копии системы в нужное хранилище, удалив их из корневого раздела.

Запустил систему в обычном режиме.

Система запустилась без всяких проблем.

Еще раз убеждаюсь, что Linux намного надежнее и стабильнее windows. Все косяки, как правило в linux мы делаем сами, из любопытства, ставя эксперименты.

Иногда по не знанию, пытаясь решить проблему быстро, здесь и сейчас, не думая.

Естественно после нормального запуска, я сразу поменял настройки в программе Timeshift.

Больше такого не повторялось.

Если есть, что добавить или поделится опытом пишите в комментариях.

Если есть целый рассказ на странице обратной связи можете загрузить текст. Если рассказ интересен или содержит познавательную информацию, то он будет опубликован на страницах сайта.

Источник

Xsession-errors большой объем файла

Xsession-errors в убунту 11.10 размер за час может вырости до 13гб, а у меня сервер и ему некуда писать данные, следовательно теряет все данные. http://ubuntovod.ru/instructions/xsession-errors.html -здесь описано решение, но даже если я меняю путь в темп, то он все равно пишеться в home. Так вот вопрос в том: как отключить .xsession-errors?

Но это в лоб, лучше разберитесь почему у вас столько ошибок. И да, зачем на сервере X ?

Ошибок то как раз таки нету, там только бесполезный лог. Терминала и еще чего то.

размер за час может вырости до 13гб

бесполезный лог. Терминала и еще чего то

А вдруг там пароли от «аськи»?

Покажите часть лога. В .xsession-errors как раз и попадают сообщения о ошибках в работе приложений.

Не заметили, случаем, после чего это началось ? Какие запущенные приложения на это влияют.

И да, зачем всё же на сервере X ?

Лично я знаю только одну программу, которая может за короткое время так загадить xsession-errors — это wine. Так что прекращай играться в игрушки на сервере 🙂 Или покажи кусок этого файла, интересно узнать, у какого ещё поделия такая безудержная диарея.

ну и к слову, стоило бы все-таки хомяк вынести на отдельный раздел. или у тебя там действительно вайн?

Первое: вайна нету. Х стоит, потому что так проще) Файл весит 13гб щя попробую его открыть. И скинуть кусок)

[IMG]http://i48.fastpic.ru/thumb/2013/0604/93/_330b59122ef78f0a3d2df947b6bbb193.jpeg[/IMG] Вот кстати еще проблема возможно связана с этим.. Так как появляеться она в местн с xsession-error

даже не знаю как реагировать

Вот сам xsession-errors: http://webfile.ru/6550012 Жду с нетерпением вашей помощи)

Кому куда? вы о чем?

мне, за помощь в решении проблемы

Мда. Зашибись форум.. Нет конечно!

Я так понимаю за бесплатно мне не помогут?(

Для начала просто почисти профильную директорию. Перемести куда-либо все файлы. Желательно это делать когда нет активной X сессии у твоего пользователя. Поэтому делай это в консоли либо залогинься в графической оболочке от пользователя root, если, конечно ты не «сидишь» от него в X .

После очистки профиля зайди в графическую оболочку под своим пользователем и проверяй работу системы.

почисти профильную директорию.. Непонял это как?)

Вы на форум Ubuntu, конечно, уже ходили? И уж тем более написали баг репорт в багзиллу?

Нет не ходил.. Так как норм помощи там недождешься.

По ошибке из вашего лога у вас, вероятно, ATI видеокарточка на сервере, и работает она у вас криво.

Заверши X сессию пользователя, под которым у тебя проблемы.

Зайди под этим пользователем в консоли и перемести / удали все файлы из домашней директории проблемного пользователя.

Для удобства работы в консоли можешь поставить midnight-commander:

Эм незнаю щя проверю ати или нет. Как в убунту проверить не подскажите? У меня встроенная. Да кстати заметил еще одну особенность этот xsession-errors начинает писаться только после ухода убунти в спящий режим. Т.е отключение сигнала.

Источник

Общие сведения

Режим киоска служит для ограничения прав пользователей в системе.

Маска киоска

Степень ограничений прав пользователей задается маской киоска. Действие маски киоска аналогично действию системной маски umask с тем отличием, что umask накладывается на права доступа при создании новых файловых объектов, а маска киоска накладывается на права доступа при любой попытке пользователя получить доступ к файловому объекту.

Маска киоска задается в конфигурационном файле /etc/parsec/kiosk_mask и по умолчанию равна 0000 (режим киоска выключен).

• Если маска равна 0003 (типичное значение при включенном режиме киоска), то для пользователей блокируется доступ по записи и исполнению ко всем файлам, не принадлежащим либо ему, либо группе, в которую пользователь входит;
• Если маска равна 0000, то поведение системы остается стандартным и на права доступа пользователя не накладывается никаких ограничений.

Получить текущую маску киоска можно, прочитав содержимое файла /parsecfs/mode_mask.
Маска киоска применяется только к обычным файлам. К каталогам, сокетам и т.д. маска не применяется.
В режиме киоска принятом по умолчанию пользователь не имеет возможности запустить ни одну системную программу, т.к. эти действия замаскированы.

Для использования функциональных возможностей данного режима в системе должен быть установлен parsec-cups (устанавливается по умолчанию).

Команда mkiosk

Команда mkiosk позволяет задавать временные права доступа пользователя к конкретным файлам. Эти права доступа не подвержены действию маски киоска и реализованы в виде ACL на специальные виртуальные файлы файловой системы parsec, являющиеся ссылками на реальные файлы. После перезагрузки все установленные ACL будут утеряны.

Права доступа к файлу задаются указанием абсолютного пути к файлу и маски прав. Так, например, права только на чтение для файла /etc/hosts можно задать в виде:

Права на чтение (r), запись (w) и выполнение (x) для файла /usr/bin/example.sh задаются в виде:

Так как задавать все права доступа в командной строке было бы крайне неудобно, существует система профилей. Это файлы с готовыми наборами прав доступа для запуска каких-либо программ. Например, есть профиль для запуска интерпретатора bash, профиль для запуска команды просмотра каталогов ls и т.д. Профили хранятся в каталоге /etc/parsec/kiosk-profiles. Вместо прав доступа к конкретным файлам, в командной строке команды mkiosk можно указать готовый профиль. Имена файлов отличаются от имен профилей по наличию первого символа `/` в имени, т.е. и мена профилей задаются без указания полного пути к ним. В общем случае профиль может содержать в себе права доступа на более сложные действия, чем запуск одной программы. Существует также профиль с именем default, который используется автоматически при каждом запуске mkiosk. В нем содержатся права доступа, которые необходимы всегда. Это, например, право на использование инструмента динамического связывания библиотек («линковщика»).

Для создания профилей можно использовать команду otrace.

Для автоматизации процесса установки прав доступа для каждого пользователя существует конфигурационный файл, хранящийся в каталоге /etc/parsec/kiosk и содержащий все необходимые права доступа. По сути, это такой же профиль, как и в случае профилей программ, но относящийся к конкретному пользователю. Этот файл может содержать как явное задание прав доступа к конкретным файлам, так и ссылки на профили программ.

При входе пользователя в систему права доступа из конфигурационного файла будут установлены автоматически при помощи специального PAM-модуля. Параметры команды mkiosk приведены в таблице:

Примеры:
Установить права доступа для пользователя, взятые из его профиля /etc/parsec/kiosk/

Установить права на чтение файла /etc/passwd для пользователя, не учитывая при этом профиль пользователя. Предполагается, что системная маска киоска равна 0003 и, соответственно, права на запись и выполнение файлов замаскированы:

mkiosk -u —mask=3 —without-profile «/etc/passwd r—«

Команда otrace

Команда otrace предназначена для трассировки процессов относительно системных вызовов open() и execve().
Синтаксис команды otrace:

otrace [-h, —help] [-s, —silent] [-o, —output=] [-k, —kiosk-dir=] [-p, —pid=] [-u, —user=] [-t, —trace] [-a, —audit-trace] [-m, —merge] [-f, —trace-failed] [-e, —mask=] [command]

Команда otrace используется в процессе конфигурирования режима киоска и служит для автоматизации создания профилей прав доступа.

В режиме киоска (стандартные настройки) пользователю запрещены запись и выполнение файлов, не принадлежащих ему, либо группе, в которую он входит. Чтобы пользователь имел возможность хотя бы войти в систему, необходимо явно указать права доступа ко всем файлам, прямо или косвенно участвующим при этой операции. Права доступа к файлам задаются с помощью установки ACL на специальные файлы-ссылки в ФС parsec. При этом права доступа на реальные файлы не изменяются. При перезагрузке системы все ACL на специальные файлы-ссылки будут утеряны.

Чтобы облегчить задачу установки пользователям прав доступа, используются профили прав доступа. Системные профили хранятся в каталоге /etc/parsec/kiosk-profiles`.
Далее приведен пример профиля, позволяющий запустить команду ls:

/bin/ls r-x
/etc/group r—
/etc/ld.so.cache r—
/etc/ld.so.preload r—
/etc/localtime r—
/etc/nsswitch.conf r—
/etc/passwd r—
/etc/selinux/config r—
/lib/libacl.so.1 r—
/lib/libattr.so.1 r—
/lib/libc.so.6 r—
/lib/libdl.so.2 r—
/lib/libnsl.so.1 r—
/lib/libnss_compat.so.2 r—
/lib/libnss_files.so.2 r—
/lib/libnss_nis.so.2 r—
/lib/libpthread.so.0 r—
/lib/librt.so.1 r—
/lib/libselinux.so.1 r—
/proc/mounts r—
/usr/lib/gconv/gconv-modules.cache r—
/usr/lib/gconv/KOI8-R.so r—
/usr/lib/locale/locale-archive r—
/usr/share/locale/locale.alias r—
/usr/share/locale/ru/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru/LC_TIME/coreutils.mo r—
/usr/share/locale/ru_RU/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru_RU/LC_TIME/coreutils.mo r—
/usr/share/locale/ru_RU.utf8/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru_RU.UTF-8/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru_RU.utf8/LC_TIME/coreutils.mo r—
/usr/share/locale/ru_RU.UTF-8/LC_TIME/coreutils.mo r—
/usr/share/locale/ru.utf8/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru.UTF-8/LC_MESSAGES/coreutils.mo r—
/usr/share/locale/ru.utf8/LC_TIME/coreutils.mo r—
/usr/share/locale/ru.UTF-8/LC_TIME/coreutils.mo r—

Для применения профиля к конкретному пользователю используется команда mkiosk.

Если профиль служит для запуска программы, как это было в примере, он должен содержать права доступа не только к исполняемому файлу, но и ко всем используемым библиотекам и всем файлам, которые открывает программа в процессе исполнения. Также необходимы права доступа на динамический линковщик, которые не попадут автоматически в профиль, созданный командой otrace. Минимальные права доступа, которые требуются всегда, содержатся в специальном профиле /etc/parsec/kiosk-profiles/default и добавляются туда вручную.

Профили могут описывать права доступа для более сложных задач, чем запуск одной программы.
Чтобы облегчить администрирование, можно использовать профили внутри других профилей.
Если внутри профиля встречается строка с именем другого профиля, то содержимое указанного профиля полностью объединяется с содержимым текущего профиля.
Объединение профилей осуществляется рекурсивно.
Если строка в файле профиля начинается не с символа ‘/’, то она рассматривается как имя профиля.
Команда otrace также поддерживает объединение профилей (см. опцию —merge).

Наконец, существуют профили, относящиеся к отдельным пользователям. Они хранятся в каталоге /etc/parsec/kiosk и заполняются вручную на основе готовых профилей либо стандартных строк, описывающих права доступа к конкретному файлу.
При включенном режиме киоска профили пользователей автоматически применяются при входе пользователя в систему. Это реализовано при помощи специального PAM-модуля и команды mkiosk.

Команда otrace может использовать два различных механизма для трассировки процессов.

Первый — это программа strace (опция —trace).
Второй — подсистема аудита PARSEC (опция —audit-trace). Программа strace имеет некоторые ограничения по использованию, поэтому применять её следует только для трассировки довольно простых, не SUID-программ.

В режиме —trace цель трассировки может быть задана либо в командной строке команды otrace в качестве аргумента (тогда указанная программа будет запущена), либо может быть задан PID уже существующего процесса (опция —pid).

В режиме —audit-trace цель трассировки задается так же, как и в режиме —trace. Но кроме описанных, есть еще дополнительный способ задания цели трассировки — опция —user.
При этом всем существующим процессам, принадлежащим указанному пользователю, будут выставлены соответствующие флаги аудита.
Таким образом, будут трассироваться все действия пользователя. Режим полезен, когда необходимо создать профиль, разрешающий пользователю выполнять целый набор сложных действий и трассировать каждую программу в отдельности затруднительно.

Если используется режим —audit-trace, то в системе не должно быть сторонних процессов, на которых установлены флаги аудита. Иначе в профиль может попасть информация, порожденная сторонними процессами.
В режиме трассировки всех процессов указанного пользователя достаточно, чтобы в системе не было других процессов с установленными флагами аудита и принадлежащих этому пользователю.

Команда otrace` по умолчанию записывает в профиль информацию только о тех действиях процесса (open(), execve()), которые прошли успешно. Однако для большей универсальности можно использовать опцию —trace-failed, которая позволит записать в профиль также информацию и о неудачных попытках. Это полезно, например, если процесс пытается открывать конфигурационные файлы. В момент трассировки файл может не существовать, но впоследствии он может появиться.

Параметры команды приведены в таблице:

Указать путь к каталогу с профилями киоска. Используется в операции —trace. По умолчанию — /etc/parsec/kiosk-profiles

Указать имя пользователя. Используется совместно с —audit-trace или —merge

Объединять все права доступа, указанные каким-либо способом в единый поток с уникальными записями. Права доступа могут быть указаны в явном виде, в виде профилей, в виде профиля пользователя и профиля, используемого по умолчанию (/etc/parsec/kiosk-profiles/default)

Запустить и трассировать процесс ls с помощью команды strace. Записать результат в файл /tmp/ls_trace

otrace —trace -o /tmp/ls_trace ls /

Трассировать запущенные процессы пользователя и все вновь порожденные ими процессы с помощью подсистемы аудита PARSEC. Отслеживать также информацию о неудачных попытках открытия файлов и запуска процессов. Результаты трассировки вывести в stdout

otrace —audit-trace -u -f

Объединить содержимое профиля пользователяt, профиля с именем ls из каталога /etc/parsec/kiosk-profiles и добавить права на чтение и выполнение файла /usr/bin/example.
Предполагать, что системная маска киоска равна 3 и, соответственно, учитывать только те файлы, для которых права доступа должны включать права на запись или выполнение

otrace —merge —mask=3 -u ls «/usr/bin/example r-x»

Графический инструмент fly-admin-kiosk

Кроме средств для работы в режиме командной строки, в распоряжении администратора имеется графический инструмент fly-admin-kiosk, который может быть использован для настройки и управления режимом киоска.
Описание инструмента см. в электронной справке.

Перед использованием утилиты необходимо сделать резервную копию

• всех системных профилей, находящихся в каталоге /etc/parsec/kiosk-profiles;
• системного профиля fly-dm в каталоге /etc/parsec/kiosk.

Системные профили, устанавливаемые по умолчанию, находятся в пакете parsec-kiosk.

Переместить системный профиль fly-dm из каталога /etc/parsec/kiosk в каталог /etc/parsec/kiosk-profiles, выполнив команду:

sudo mv /etc/parsec/kiosk/fly-dm /etc/parsec/kiosk-profiles/fly-dm

Создать пользовательский профиль fly-dm в каталоге /etc/parsec/kiosk, выполнив команду:

echo fly-dm | sudo tee /etc/parsec/kiosk/fly-dm

Отредактировать содержимое файла /etc/parsec/kiosk-profiles, заключив в кавычки имена файлов:

«/lib64/ld-linux-x86-64.so.2» r-x
«/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2» r-x

Далее можно использовать утилиту fly-admin-kiosk.

Настройка режима киоска для пользователя

Для разрешения входа пользователя в режиме текстовый консоли необходимо создать файл профиля для пользователя в каталоге /etc/parsec/kiosk и добавить в файл перечень профилей, необходимых для разрешения входа пользователя, например:

Сделать это можно выполнив команду:

echo -e «defaultnbash» | sudo tee /etc/parsec/kiosk/

Для добавления разрешенных для пользователя команд необходимо:

войти в систему от имени учетной записи пользователя на одной консоли (например, tty1);

войти в систему от имени учетной записи администратора на другой консоли (например, tty2) и запустить протоколирование действий пользователя, выполнив команду:

sudo otrace -a -o /etc/parsec/kiosk-profiles/ -f —mask=3 -u

подключить полученный новый профиль к пользователю, выполнив команду:

echo новый_файл_профиля | sudo tee -a /etc/parsec/kiosk/

включить режим киоска и перезагрузить ОС, выполнив команды:

echo 0003 | sudo tee /etc/parsec/kiosk_mask
sudo reboot

Для разрешения входа пользователя в графическом режиме необходимо:

проверить наличие профиля fly-dm в файле /etc/parsec/kiosk/fly-dm;

подключить профиль fly к профилю пользователя имя_пользователя, выполнив от имени суперпользователя root команду:

echo fly | sudo tee -a /etc/parsec/kiosk/имя_пользователя

Для создания профиля fly необходимо:

Войти в систему в режиме текстовой консоли от имени администратора;

Остановить работу fly-dm|, выполнив команду:

sudo systemctl stop fly-dm

Проверить наличие логической ссылки /usr/bin/x-session-manager, выполнив команду:

ls -l /usr/bin/x-session-manager

Удалить указанную логическую ссылку и создать другую с суффиксом .orig, выполнив команды:

sudo rm /usr/bin/x-session-manager
sudo ln -s /etc/alternatives/x-session-manager /usr/bin/x-session-manager.orig

Создать текстовый файл /usr/bin/x-session-manager со следующим содержимым:

#!/bin/bash
/usr/sbin/otrace -t -f -o /test/fly —mask=3 /usr/bin/x-session-manager.orig $@ &
sleep 20
/usr/bin/fly-wmfunc FLYWM_EXIT

Изменить права на созданный файл, выполнив команду:

sudo chmod 777 /usr/bin/x-session-manager

Установить пакет strace, выполнив команду:

Создать каталог /test с правами 777, выполнив команду:

Запустить fly-dm, выполнив команду:

sudo systemctl start fly-dm

В сессии суперпользователя root проверить наличие профиля fly в каталоге /test, выполнив команду:

Удалить файл /usr/bin/x-session-manager, выполнив команду:

sudo rm /usr/bin/x-session-manager

Создать логическую ссылку /usr/bin/x-session-manager, выполнив команду:

sudo ln -s /etc/alternatives/x-session-manager /usr/bin/x-session-manager

Открыть полученный профиль /test/fly в текстовом редакторе, удалить строки вида . resumed . строки для /proc и строки, содержащие пути, начинающиеся с «./»;

Перенести профиль в каталог профилей, выполнив команду:

sudo cp /test/fly /etc/parsec/kiosk-profiles/fly

Подключить профиль fly к профилю пользователя, выполнив команду:

echo fly | sudo tee -a /etc/parsec/kiosk/

Включить режим киоска и перезагрузить ОС, выполнив команды:

echo 0003 | sudo tee /etc/parsec/kiosk_mask
sudo reboot

Выполнить в графическом режиме вход в систему от имени пользователя;