В рамках этого блога сделаю не большое отступление
от основной нити FreeNAS в строну
проблемы ребёнок и компьютер.
Дети не принадлежат своим родителям. Это родители принадлежат своим детям. Родители должны обеспечить всестороннее развитие детей и самостоятельность - противолежащие понязтия, когда речь идёт о компьютерах. Часто пряники приходится ограничивать, чтобы осталось место и желание для шоколадных бисквитов. Но и запрещать детям нельзя, если мы хотим видеть их самостоятельными. Пусть всё за нас делает компьютер...
Пожелания
Мой компьютер по-прежнему под паролем на BIOS. Это паразительно (от слова паразит), но пытливый ум ребёнка способен заставить его час на пролёт подбирать пароль в винде. Красивая картинка однако, дружественный интерфейс. Но вот подбирать пароль к BIOS уже не так интересно. Отшибает желание уже на подходе.
Ребёнок имеет свой компьютер, самостоятельно включает и выключает. Играет, смотрит мульты, ходит на определённые сайты по расписанию. Степень ограниченности, расписание, фильтры настраиваемы для подстройки под быстро меняющийся возраст. Система должна работать по принципу "поставил и забыл". Ни каких паролей, которые надо менять после провинности ребёнка.
Дано
Старенький комп для самостоятельной работы под ребёнком. Из условия видно, что родительский контроль из Win7 нам недоступен. Необязательно, но: домашняя сеть с торрент-качалкой и файл-сервером.
И чертёнок по имени 13
1. Установка системы. Беру минимально нагруженную ХР - не Zver!
Но с вшитыми драйверами, патчами и темами. Максимально близкая к оригиналу и стабильная система: Windows XP Pro SP3 VLK Rus simplix edition (x86). Выбрал я её именно за стабильность и отсутствие мусора. Я меньше всего хочу что либо делать с этим компьютером в будущем (см. пожелания). Обязательно этим же загрузочным диском предварительно проверяю memory и HDD (комп то старенький).
2. Драйвера DriverPack Solution 12
3. Ставлю софт
- TC
- K-Lite Mega Codec Pack
- Office2003 + FileFormatConverters + PDFPrinter
4. Твикаю систему под себя. У каждого это свои приблуды и замарочки. Например, отключаю автозапуск со сменных носителей. Задаю файл подкачки. Точно понадобится отключить "Использовать простой общий доступ..." в свойствах папок Винды для разграничения прав. И пр. Вбиваю сетевые настройки и идентификацию.
5. Создаю пользователя "Дитё"
compmgmt.msc в группу "Пользователи". Переключаюсь в него. Посмотрел - приятно. Возвращаюсь и временно добавляю Дитё в группу админов.
6. Твикаю пользователя "Дитё". Выбираю тему, удаляю лишние иконки, настраиваю быстродействие под существующее убогое железо.
7. Ставлю кибермаму. Скажу честно, она мне не понравилась. Но заниматься поиском и сравнениями и тестами у меня не было времени и желания. Основной функционал она выполняет. Не хватает дозволенных временнЫх Окон в расписании. Т.е. программа не учитывает расписание реальное и Дитё вполне может играть свой дозволенный час времени вместо уроков, например. А некоторым детям расписание дня просто необходимо. При желании можно сравнить конкурентов.
8. Заставляю работать кибермаму. На директорию, куда поставилась мама, даю права на запись для "Дитё". Там лежит база данных, которую мама пополняет. Запускаю Procmon от Sysinternals и смотрю куда мама хранит пароль. Этому крипто-контейнеру тоже надо дать права, а то он лежит в "All Users" - для всех пользователей винды пароль в маме одинаковый.
9. Забираю у "Дитё" права, оставляя его только в группе "Пользователи".
Вроде бы как и всё. Есть пользователь с ограниченными правами, настроенным расписанием доступа. Но мне этого показалось мало! Я хочу совсем забыть про этот комп. Железо не позволяет ставить антивирус, но защищаться надо. Но я буду не защищаться, а зеркалиться и фокусничать! Дальше читать суровым параноикам.
10. Ставлю Shadow Defender 1.1.0.331
Пароль ставлю, как в маме и у пользователя "Admin". Его болезненно забывать. Настраиваю исключения:
- папка документов и десктоп,
- директории для игр,
- директория для закачки и шару,
- директория для закачки обновлений WSUS,
- директория кибермамы.
Оставлять в исключениях временные директории и кэши браузеров опасно. Эксплойты и трояны этого и ждут. Нам то это по-барабану, но мало ли куда они по сети полезут, обосновавшись там.
11. Финальный твик.
Пройдусь Autoruns. Подключу сетевой диск, который смотрит на файл-сервер. На сетевом диске детские мультики и фильмы. Залью игр в соответствующую директорию. Развешу ярлыки. Запущу WSUS от byfly. Загрузившись с Live дефрагментация с убиванием pagefile.sys
12. Перезагрузка, включение теневого режима под админом.
13. Зеркалюсь Clonezilla на файл-сервер.
Как пользоваться?
Кривые детские руки и пытливый ум ребёнка способны разнести всё в клочья в порыве всепознайства. Но система получилась не убиваемой! Все производимые изменения с ФС (а значит и с ОС) будут погребены в небытие после первой же перезагрузки. Исключения прописаны в настройках Shadow Defender. Так мы сможем управлять мамой, сохранять новые и скаченные документы, настройки и сэйвы игр. Для установки игр (которые прописываются в реестр и пр.) придётся выходить из теневого режима. Не приятно, что для выходы из тени необходимо перезагружаться. Игры, которые работают без установки, просто копируем в соответствующую директорию и вешаем ярлыки. Время от времени, при желании, можно выходить из тени для установки скаченных обновлений WSUS, если мы их включили пунктами 10 и 11.
Следующим этапом буду накручивать Privoxy для фильтрации интернета - это отдельным постом будет.
UPD:
7. Оказывается, в маме есть интервалы, чёта я их не заметил сразу. Но интервалы устанавливаются на рабочие и выходные дни, а хотелось бы на дни недели отдельно. В любом случае, я подумал, что от них больше проблем и вопросов - отказываюсь вовсе.
Но сейчас мне не хватает блэк-листа по процессам на рабочие дни. В маме блэк-лист есть, но он всеобъемлющий.
Хочу позволить смотреть мульты (в сетевой шаре только развивающее детское видео) всегда, а игры только по выходным. Мама позволит ограничивать время работы в сутки. Игры же по будням буду резать при помощи nnCron или WD.
8. Маму работать заставил, но не полностью. Заглянул в отчёты - посыпались ошибки. Мама оказалась совершенно УГ, так как не поддерживает сому философию ограничений, являясь софтом для ограничений. Я в шоке от непродуманности этого софта! Всё тем же Procmon заглянул в какие ветки реестра прётся мама - в HKLM. Под админом смотреть контрастнее. Сильно в подробности не вдавался: избавился от ошибок, а ведётся ли журнал проверю может быть позже.
Ага, в services.msc сервису мамы не надо писать запускаться от админа - нет смысла.
10. Добавил ещё исключения:
c:\WINDOWS\Prefetch\
c:\WINDOWS\system32\config\*.Evt
Оказывается "директории-исключения" не означает "ни чего не делать" в контексте Shadow Defender. "Исключения" означает сохранять изменения, т.е. производить действия и Дефендер может при этом тормозить систему. Поэтому папки-исключения, такие как:
- D:\Program Files\ - уже установленные игры
- D:\Downloads\ - шара и сохранённые документы
и пр. лучше вывести на отдельный логический диск [D:], который не в тени вообще.
FAQ:
Зачем такая избыточность?
Когда/Если у ребёнка проявятся хакерские замашки и Билли-подобное поведение, то мне будет достаточно выдать уникальный (отличный от пароля кибермамы и SD) пароль админа - пусть балуется. Пусть прочувствует разницу между админом и пользователем. Пусть ломает винду и перезагружается для новых экспериментов. Новый урок на годы даётся мной за 10 секунд.
Зачем Клара Клонирует Клонзиллой Клонов,
если система не убиваемая?
Система действительно не убиваемая, но винт то старенький. Не факт, что подведёт именно он, но вероятность есть, не в первой...
nnCron
Запрещаю игры по будним дням. Соответственно можно неограниченно
смотреть развивающее детское видео, например. Отличная замена ТВ на мой
взгляд.
#( LFS
/ выполняю под админом
User: "Admin" SecPassword: "666" Domain: "PC" LogonInteractive
/ ожидаю запуска процесса
WatchProc: "game.exe"
Action:
/ только будние дни
WDay@ 6 <
IF
/ ожидаю 3 сек
PAUSE: 3000
/ прибиваю процесс
WIN-TERMINATE: "game.exe"
/ для надёжности
KILL: "game.exe"
ELSE EXIT
THEN
)#
/ выполняю под админом
User: "Admin" SecPassword: "666" Domain: "PC" LogonInteractive
/ ожидаю запуска процесса
WatchProc: "game.exe"
Action:
/ только будние дни
WDay@ 6 <
IF
/ ожидаю 3 сек
PAUSE: 3000
/ прибиваю процесс
WIN-TERMINATE: "game.exe"
/ для надёжности
KILL: "game.exe"
ELSE EXIT
THEN
)#
Ещё пару правил и от кибермамы можно будет избавиться, хотя и цели такой пока нет.
Privoxy
Privoxy - это прокси. А значит его адрес:порт нужно указывать в браузере подопечного. В Инетах можно найти мнение, что он является УГ, так как не является кэширующим. Но на самом деле, от кэша в прокси-сервере толк наступает при довольно большом количестве пользователей. Privoxy ориентирован не на обслуживание солидной аудитории, а на обеспечение гибкой и настраиваемой фильтрации (в частности для анонимного сёрфинга, название намекает). Privoxy не сохраняет контент в кэше принципиально, но он ещё и режит контент тоже принципиально. Вырезается реклама, баннеры и прочий мусор. При этом следует понимать, что экономия трафика не происходит - страница со всем её содержимым полностью загружается в буфер Privoxy и после обработки фильтрами выплёвывается в браузер. Но если запрашиваемый браузером адрес/элемент в блок-листе, то Privoxy не пересылает запрос от браузера серверу вовсе. Вот здесь уже есть экономия трафика и конфиденциальность.
Ставится одинаково несложно что на Фряху, что на Винду. Дефолтные правила уже нечто фильтруют.
Установку нагуглиш сам.
Самое интересное - это настройка правил и фильтров.
Проблема раз: регулярные выражения не всем понятны. Это сродни написанию стихов - вложить свою мысль в размер и строфу.
Два: Инет меняется постоянно, Инет всем видеться по-разному. Врятли получится использовать чужие наборы правил. Придётся их писать самому.
Можно вообще испугаться настройки правил, а можно периодически разминать мозг и клаву.
Ворнинг в том, что общение с регулярными выражениями может не хило затянуть в игры разума или жестоко выбесить. Но, если ты дочитал до этого момента, то можно попробовать продолжить минимально.
Работать буду с файлом user.action. Этот файл не меняется при инсталляции и имеет наивысший приоритет при обработке правил. Открываю файл user.action и пишу заблокированные адреса:
{+block{ Ибо не положено, а понаделано! }}
.*ya*.*/*
.*fuck*.
.*ya*.*/*
.*fuck*.
Проверяю, далее открываю страницу конфигурации p.p, кликаю "Look up which actions apply to a URL and why" и смотрю, как именно обрабатывается тот или иной адрес правилами. Это вершина айсберга возможностей мозголомства при помощи Privoxy. Если продолжать дальше, то можно реально закопаться. Но ребёнку проще будет запретить весь Инет и оставить только адекватные порталы, википедию, развивающие сайты и прочее по нашему усмотрению:
{ +block { В школу иди! }}
/ # Так блокирую все сайты напрочь, жестоко
/ # Так блокирую все сайты напрочь, жестоко
А в файле trust прописываю разрешённые:
+ilis.by # все ссылки с этого домена будут автоматически добавлены в этот файл, как доверенные
~turnir.tut.by # это доверенный адрес, но ссылки на другие домены с него не доступны
~wikipedia.org
~lida.info
~turnir.tut.by # это доверенный адрес, но ссылки на другие домены с него не доступны
~wikipedia.org
~lida.info
Автоматическая настройка браузера на фильтрующий прокси-сервер Privoxy.
1. Подготовка локального веб-сервера
Необходимо, чтобы веб-сервер выдавал скрипт (о том, что за скрипт в следующем пункте) при запросе. Для этого надо разрешить обращаться к файлам типа .pac и .dat
Необходимо, чтобы веб-сервер выдавал скрипт (о том, что за скрипт в следующем пункте) при запросе. Для этого надо разрешить обращаться к файлам типа .pac и .dat
Apache:
Добавлю в httpd.conf дерективы:
IIS:
1. In IIS Manager, right-click the website or website directory for which you want to add a MIME type, and click Properties.
2. Click the HTTP Headers tab.
3. Click Mime Types.
4. Click New.
5. In the Extension box, enter the file name extension: dat.
6. In the MIME type box, enter the MIME type description: application/x-ns-proxy-autoconfig.
7. Click OK and then restart the IIS service.
источник
2. Создаю JavaScript-файл "Proxy auto-config (PAC)" и называю его wpad.pac
Понятно, что выполнение JavaScript должно быть включено в браузере. Ну а сам сам файл wpad.pac укладываю в корень веб-сервера и проверяю его доступность - скачиваю. Стандарт PAC уже должен работать. Это означает, что указав в настройках браузера адрес скрипт-файла в ручную URL:"http://10.10.10.10:80/wpad.pac" мы можем рассчитывать на то, что браузер сам скачает файл wpad.pac и при его помощи автоматически будет определять настройки прокси, выполняя JavaScript.
3. Настраиваю DHCP на "Web Proxy Autodiscovery Protocol (WPAD)"
Для работы по стандарту WPAD (протокол автоматической настройки прокси) нужен ещё один шаг после которого браузер в сети сможет сам находить файл wpad.pac без указания его местонахождения вручную - полностью автоматическая настройка прокси.
DHCP:
Если DHCP-сервер на винде, то делаю както так:
Перезагружаю DHCP-сервер, подтягиваю клиентской машиной настройки, проверяю "автоматическая настройка прокси" в браузере без явного указания адреса скрипт-файла wpad.pac.
4. Есть вариант распространения WPAD при помощи DNS. Суть в том, что браузер ищет файл wpad.dat в корне сервера с именем wpad.<твой домен>
Указываем клиентской машинке домен:
Теперь, если в браузере выбрать "автоматическая настройка прокси", то он будет искать скрипт-файл настроек по адресам:
В примере для демонстрации алгоритма клиент находится в домене "aaa.bbb.ccc.mydom.org"
Роль DNS в том, что необходимо создать HOST+ALIAS(CNAME):
Добавлю в httpd.conf дерективы:
AddType application/x-ns-proxy-autoconfig .pac
AddType application/x-ns-proxy-autoconfig .dat
AddType application/x-ns-proxy-autoconfig .dat
1. In IIS Manager, right-click the website or website directory for which you want to add a MIME type, and click Properties.
2. Click the HTTP Headers tab.
3. Click Mime Types.
4. Click New.
5. In the Extension box, enter the file name extension: dat.
6. In the MIME type box, enter the MIME type description: application/x-ns-proxy-autoconfig.
7. Click OK and then restart the IIS service.
источник
2. Создаю JavaScript-файл "Proxy auto-config (PAC)" и называю его wpad.pac
function FindProxyForURL(url, host)
{
if (isInNet(host, "10.10.10.0", "255.255.255.0")) {
return "DIRECT";
} else {
if (shExpMatch(url, "http:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "https:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "ftp:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "socks:*"))
return "SOCKS 10.10.10.10:8118; DIRECT";
return "DIRECT";
}
}
{
if (isInNet(host, "10.10.10.0", "255.255.255.0")) {
return "DIRECT";
} else {
if (shExpMatch(url, "http:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "https:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "ftp:*"))
return "PROXY 10.10.10.10:8118; DIRECT";
if (shExpMatch(url, "socks:*"))
return "SOCKS 10.10.10.10:8118; DIRECT";
return "DIRECT";
}
}
Понятно, что выполнение JavaScript должно быть включено в браузере. Ну а сам сам файл wpad.pac укладываю в корень веб-сервера и проверяю его доступность - скачиваю. Стандарт PAC уже должен работать. Это означает, что указав в настройках браузера адрес скрипт-файла в ручную URL:"http://10.10.10.10:80/wpad.pac" мы можем рассчитывать на то, что браузер сам скачает файл wpad.pac и при его помощи автоматически будет определять настройки прокси, выполняя JavaScript.
3. Настраиваю DHCP на "Web Proxy Autodiscovery Protocol (WPAD)"
Для работы по стандарту WPAD (протокол автоматической настройки прокси) нужен ещё один шаг после которого браузер в сети сможет сам находить файл wpad.pac без указания его местонахождения вручную - полностью автоматическая настройка прокси.
DHCP:
option wpad code 252 = text ;
option wpad "http://10.10.10.10:80/wpad.pac\000" ;
option wpad "http://10.10.10.10:80/wpad.pac\000" ;
Если DHCP-сервер на винде, то делаю както так:
Перезагружаю DHCP-сервер, подтягиваю клиентской машиной настройки, проверяю "автоматическая настройка прокси" в браузере без явного указания адреса скрипт-файла wpad.pac.
4. Есть вариант распространения WPAD при помощи DNS. Суть в том, что браузер ищет файл wpad.dat в корне сервера с именем wpad.<твой домен>
Указываем клиентской машинке домен:
Теперь, если в браузере выбрать "автоматическая настройка прокси", то он будет искать скрипт-файл настроек по адресам:
http://wpad.aaa.bbb.ccc.mydom.org/wpad.dat
http://wpad.bbb.ccc.mydom.org/wpad.dat
http://wpad.ccc.mydom.org/wpad.dat
http://wpad.mydom.org/wpad.dat
http://wpad.org/wpad.dat
http://wpad.bbb.ccc.mydom.org/wpad.dat
http://wpad.ccc.mydom.org/wpad.dat
http://wpad.mydom.org/wpad.dat
http://wpad.org/wpad.dat
В примере для демонстрации алгоритма клиент находится в домене "aaa.bbb.ccc.mydom.org"
Роль DNS в том, что необходимо создать HOST+ALIAS(CNAME):
"wpad.mydom.org" = [10.10.10.10]
Или же мы вольны использовать файл hosts на клиентской машинке, для создания этой связи:
127.0.0.1 localhost
10.10.10.10 wpad.mydom.org
10.10.10.10 wpad.mydom.org
В этой статье намеренно разные расширения для одного и тогоже файла скрипта: .pac и .dat - это какбэ намёк на различные пути его распространения. И ещё обращаю внимание, что DHCP имеет приоритет выше, чем DNS. Тот или иной браузер может не поддерживать DHCP-WPAD, а только DNS-WPAD, поэтому лучше сразу сделать всё, включая мозг по отношению к расширениям
Для чего это нужно?
Всё
это отлично вписывается в корпоративные масштабы, но если вспомнить,
что машинка ребёнка в тени под Shadow Defender и к ней вообще нет
желания подходить и что либо крутить, то менять те или иные настройки
проще на сервере. В данном случае менять настройки прокси для
веб-браузера в файле скрипта PAC. Один раз настраиваю клиента (машинку
ребёнка) на автоматический подхват прокси и декларируемый мной в начале
цикла статей принцип "поставил и забыл" соблюдён!Онлайн-тренинги устного счета – основа успешного изучения математики
На сайте WWW.ILIS.BY, ... учащимся предлагаются онлайн-тренинги по математике для школьников. С их помощью школьники могут быстро освоить навыки устного счета, эффективных вычислений.
Читать далее на тут.by по ссылке есть линки на интересные статьи в тему.
Упомянутая Интернет-лига интеллектуального спорта (iЛис) не ограничивается математикой, у них на сайте есть и другие тренинги и турниры: русский язык, белорусская лексика и история (ВКЛ), английская грамматика, логика, экономика, IQ (развитие способностей).
UPD:
Ребёнок и компьютер - 2 (CRON и каникулы)
Ребёнок и компьютер - 3 (EducationPack)
Основательно =)
ОтветитьУдалить