¿Cómo puedo limitar o restringir el acceso a una aplicación?

Mi hijo recibió una nueva computadora portátil la Navidad pasada, principalmente para usar en su nueva escuela ... Y ahora que tiene su propia computadora portátil, está entusiasmado de tener instalado Steam.

Pero la esposa quiere que elimine Steam, porque la computadora portátil es principalmente para uso escolar ... Prefiero no hacer eso, si no tengo que hacerlo.

¿Hay alguna forma de restringir o limitar el acceso a Steam? ¿Quizás una contraseña en Steam o establecer tiempos durante los cuales se puede ejecutar?

Idealmente , debe ser algo bastante simple de usar porque mi trabajo a menudo me mantiene alejado de casa (y computadoras, telecomunicaciones y ...) por largos períodos de tiempo y aunque mi esposa no se siente tan cómoda con las computadoras como yo, más fácil de usar es mucho, mucho mejor.

¿Seguramente hay algo por ahí que pueda lograr esta tarea?

Establecer un límite de tiempo en un proceso o aplicación

Con un pequeño script de fondo, puede establecer un límite de tiempo en un proceso o aplicación.
Siempre que su usuario no conozca la contraseña del administrador , no se la supera con demasiada facilidad.

La solución a continuación

Es un script de fondo tan pequeño. Limita el uso por día a un número definido de minutos, para establecer en el encabezado del script. Una vez configurado (que no es demasiado difícil), es muy fácil y no se necesita ninguna acción adicional después.

La secuencia de comandos

#!/usr/bin/python3
import subprocess
import os
import sys
import time

#--- set the time limit below (minutes)
minutes = 1
#--- set the process name to limit below
app = "gedit"

uselog = "/opt/limit/uselog"
datefile = "/opt/limit/currdate"

def read(f):
    try:
        return int(open(f).read().strip())
    except FileNotFoundError:
        pass

currday1 = read(datefile)

while True:
    time.sleep(10)
    currday2 = int(time.strftime("%d"))

    # check if the day has changed, to reset the used quantum
    if currday1 != currday2:
        open(datefile, "wt").write(str(currday2))
        try:
            os.remove(uselog)  
        except FileNotFoundError:
            pass

    try:
        # if the pid of the targeted process exists, add a "tick" to the used quantum
        pid = subprocess.check_output(["pgrep", app]).decode("utf-8").strip()
        n = read(uselog)
        n = n + 1 if n != None else 0
        # when time exceeds the permitted amount, kill the process
        if n > minutes*6: 
            subprocess.Popen(["kill", pid])
        open(uselog, "wt").write(str(n))
    except subprocess.CalledProcessError:
        pass

    currday1 = currday2

Cómo utilizar

1. En su escritorio (o en cualquier otro lugar), cree una carpeta llamada: limit
2. Copie el script en un archivo vacío, guárdelo como limit_use(sin extensión) dentro de la carpeta y hágalo ejecutable

3. Edite en el encabezado del script el nombre del proceso a limitar y el número máximo de minutos permitidos. En el ejemplo:

   #--- set the time limit below (minutes)
   minutes = 1
   #--- set the process name to limit below
   app = "gedit"

4. Copie la carpeta al directorio /opt:

   cp -r /path/to/limit /opt

5. Ahora edite /etc/rc.localpara que el script lo ejecute como rooten el inicio:

   sudo -i gedit /etc/rc.local

   Justo antes de la línea

   exit 0

   otra linea:

   /opt/limit/limit_use &

Eso es

Cuando alguien intenta matar el script de fondo:

(acción no permitida)

Explicación; cómo funciona

• Una vez cada 10 segundos, el script busca si el proceso de destino se está ejecutando. Si es así, "agrega" un "punto" al uso total, que se registrará en un archivo ( /opt/limit/uselog). Si se alcanza el límite diario, el script ya no permite que se ejecute el proceso, eliminándolo si existe.
• En el cambio del día (la fecha se registra en un archivo, por lo que reiniciar no ayudará), el archivo de registro se elimina, lo que permite acumular una nueva cantidad de tiempo de uso.
• Dado que la secuencia de comandos se ejecuta al arrancar , rc.localsolo los usuarios con privilegios de sudo pueden detener la secuencia de comandos, incluso si el usuario conoce el nombre del proceso.

Detener el guión

En caso de que quiera detener el script, use el comando:

sudo kill "$(pgrep limit_use)"

Pero nuevamente, necesitaría la contraseña de sudo para hacerlo.

EDITAR

Aunque la secuencia de comandos anterior debería proporcionar una forma razonablemente segura de limitar el uso de una aplicación, como lo menciona @Bytecommander, puede superarse, aunque no con mucha facilidad. La combinación con la medida a continuación hará que sea muy poco probable que esto suceda, a menos que su hijo conozca la configuración y tenga bastante experiencia con Linux / Ubuntu.

Medida adicional

Un poco más lejos de una "solución simple", pero aún no es demasiado difícil de configurar es la medida adicional a continuación. Si nuestro presunto delincuente descubriera que se llama al script /etc/rc.local, lograría convertirse en root y eliminaría la línea /etc/rc.local, o sería capaz de detener el script de esa manera, podemos confrontarlo con el siguiente problema: la pantalla se apaga después inicie sesión. Además, la solución verifica si la secuencia de comandos en segundo plano se está ejecutando después de 5 minutos después del reinicio, apagándose si no.

La medida adicional es un cheque startup si la línea /opt/limit/limit_use &está presente en /etc/rc.local, y un cheque después de 5 minutos si el guión todavía funciona. Dado que el script se ejecuta desde un iniciador (oculto de las aplicaciones de inicio) /etc/xdg/autostart, será bastante difícil descubrir qué está sucediendo, a menos que sepa cómo se hace. La combinación de estas dos medidas hace que sea poco probable que su hijo se entere, y si lo hace, probablemente nada lo detendrá.

Como instalar

Hay dos pasos simples involucrados:

1. Copie el siguiente código en un archivo vacío, guárdelo como blackout.desktopen su escritorio:

   [Desktop Entry]
   Name=not allowed
   Exec=/bin/bash -c "sleep 15 && /usr/local/bin/blackout.py"
   Type=Application
   Terminal=false
   NoDisplay=true

   Copie el archivo a /etc/xdg/autostart:

   sudo cp /path/to/blackout.desktop /etc/xdg/autostart

2. Copie el script a continuación en un archivo vacío, guárdelo como blackout.pyen su escritorio, hágalo ejecutable y cópielo en /usr/local/bin:

   cp /path/to/blackout.py /usr/local/bin

   La secuencia de comandos

   #!/usr/bin/env python3
   import subprocess
   import time
   
   def dim_screen():
       screen = [
           l.split()[0] for l in subprocess.check_output(["xrandr"]).decode("utf-8").splitlines()\
           if " connected" in l
           ]
       for scr in screen:
           subprocess.Popen(["xrandr", "--output", scr, "--brightness", "0"])
   
   if not "/opt/limit/limit_use &" in open("/etc/rc.local").read():
       dim_screen()
   
   time.sleep(300)
   
   try:
       pid = subprocess.check_output(["pgrep", "limit_use"]).decode("utf-8").strip()
   except subprocess.CalledProcessError:
       dim_screen()

Explicación

Los iniciadores /etc/xdg/autostartiniciarán una aplicación (en este caso, el control de seguridad adicional) para todos los usuarios. Esto podría sobrescribirse localmente, pero debe conocer las ejecuciones de verificación. Al poner la línea NoDisplay=trueen nuestro lanzador, no aparecerá localmente Startup Applications, por lo que sin saber que existe, es poco probable que se descubra.

Además, su hijo tiene solo 15 segundos para averiguarlo (luego la pantalla se oscurece), por lo que tendría un problema grave, a menos que sea un genio, tenga mucha experiencia con Ubuntu y una mente creativa.

Según mi propia experiencia, restringir el acceso a los juegos de computadora es una de las tareas más desafiantes para educar a nuestros hijos. Por supuesto, los padres queremos que usen sus computadoras principalmente para la escuela, pero esto entra en conflicto con las intenciones de los niños. Nos odiarán por darles hardware utilizable solo para la escuela.

Y, por supuesto, también queremos que aprendan cómo usar su computadora de una manera sensata, incluyendo cómo usarla no solo para el trabajo sino también para el ocio. Esto incluye juegos y ver videos.

Desafortunadamente, los controles parentales bien mantenidos y en funcionamiento para restringir la computación del niño casi no están disponibles para Ubuntu. Otro problema importante es que tan pronto como son niños inteligentes, todas las medidas que tomamos se vuelven en vano. Siempre encontrarán formas de superar nuestras restricciones, en caso de que sean realmente inteligentes sin que nosotros podamos notarlo.

Cualquier software de bloqueo o restricciones de PAM que se ejecuten en la computadora del niño serán solo temporales, y tarde o temprano pueden superarse muy fácilmente. Por lo tanto, decidimos dejar que el enrutador protegido con contraseña haga el trabajo, donde el acceso físico se puede controlar mucho más fácilmente.

Entonces, lo que hacemos aquí para limitar algo los juegos en este momento es una combinación de todo lo siguiente:

• Hable con ellos para educarlos sobre cómo y cuándo usar las computadoras por placer, y cuándo usarlas para la escuela. Este es un proceso constante y bastante tedioso que conduce a discusiones y argumentos interminables. Pero es lo que sentimos es lo único que durará a largo plazo.
• No hay permisos de administrador en su cuenta. Esto es algo temporal. Sabemos que podrán colocarse en el sudogrupo tarde o temprano. El plan es que nos lo pidan en lugar de ocultarlo.
• Haga un contrato para tiempos de computación claramente definidos. Necesitan saber para qué y durante cuánto tiempo se les permite usar sus máquinas. Necesitan aprender a dividir este tiempo para la escuela y para el ocio.
• Bloquee completamente todo internet durante las horas de sueño .

Para facilitar el cumplimiento del contrato sobre el uso de la computadora tanto para los niños como para nosotros, instalamos las siguientes restricciones:

• Utilice un enrutador protegido con contraseña que permita la restricción del acceso a Internet en una combinación de hardware (MAC) y un horario. Mientras no sepan sobre la falsificación de MAC, esto funcionará bastante bien. También restringirá el acceso a través de sus teléfonos inteligentes y tabletas. Por supuesto, esto no funcionará si hubiera una red inalámbrica abierta en su vecindario.
• Instale un servidor SSH en las computadoras de los niños para desconectar en caso de que se pierdan en sus propias intenciones. Esto es para casos de emergencia, nos alegra no haber necesitado mucho.
• Instalé una lista negra de DNS (a través del enrutador, ¡no de la computadora!) Que debería bloquear el acceso a lo peor.

El bloqueo del acceso a Internet deshabilitará efectivamente los juegos si ese juego necesita acceso a Internet, como Steam , Minecraft u otros servidores de gamig. Sin embargo, no tendrá ningún efecto para los juegos que se ejecutan fuera de línea.

Esto se puede lograr mediante el uso de scripts de shell.

El primer script es matar Steamtan pronto como se ejecute:

#!/bin/bash

while true
do
    pkill steam
    sleep 1
done

exit 0

Guárdelo como /path/to/anyname.shy agréguelo a la lista de aplicaciones de inicio.

Lo que hará este script es que verificará cualquier proceso abierto nombrado steamcada segundo y, si lo encuentra, lo matará.

Pero, necesita una solución en la que steampueda ejecutarse en un momento específico para que su hijo pueda jugar durante ese intervalo. Para hacer eso tienes que escribir otro script:

#!/bin/bash

    echo "pkill anyname.sh" | at 10:00

exit 0

Guárdelo como /path/to/anyname2.shy también agregue esto a su lista de aplicaciones de inicio.

Este script matará al primer script a las 10:00 hrs. Entonces, cuando su hijo corre Steama las 10:00 hrs. Podrá jugarlo ahora.

El tercer guión es reiniciar el primer guión en otro momento para que se mate Steamdespués de un intervalo de tiempo y su hijo ya no pueda jugar Steammás.

#!/bin/bash

    echo "bash /path/to/anyname.sh" | at 12:00

exit 0

Guárdelo como /path/to/anyname3.shy agréguelo a su lista de aplicaciones de inicio.

Asegúrese de mantener esos caminos ocultos para que su hijo no se entere.

¿Por qué no utilizar una nueva cuenta de usuario (a través de la configuración del sistema )? Este es el único método en Linux para "permisos".

1. El nuevo usuario "SteamUser" no debe estar en sudoers (solo una cuenta limitada).
2. Luego cree una segunda cuenta llamada "SuperAdmin" y conviértala en sudoers (acceso raíz). Pero mantenga su contraseña solo con usted.
3. Luego, elimine la cuenta de su hijo de los sudoers. ( sudogrupo) Entonces esta cuenta no tendrá acceso de root, no podrá instalar o eliminar software, cambiar la configuración de todo el sistema.
4. Inicie sesión en su cuenta "SuperAdmin" y cambie la propiedad de los archivos binarios de Steam y la carpeta de juegos de Steam para evitar que nadie los ejecute, excepto "SteamUser". Esto incluye eliminar el acceso de lectura + escritura + ejecución de cualquier persona excepto "SteamUser"

Pocas notas ...

• No hay habilidad para dejar un acceso raíz con la cuenta de su hijo, de lo contrario, el control de permisos se omite fácilmente con chown / chmod.
• Otras sugerencias basadas en scripts de fondo son simplemente un desastre inestable. Esto significa que no son prometedores. Sin embargo, son fáciles de configurar tal vez.
• Las rutas de carpeta para transferir a "SteamAccount" son: /home/son/.steamy, por supuesto, el archivo binario/usr/games/steam
• Para jugar a Steam, se requiere una contraseña de "SteamUser" (deberá iniciar sesión con "SteamUser" y ejecutar Steam. Puede intentar buscar métodos para expirar la sesión después de un tiempo bloqueándolo, para evitar jugar demasiado tiempo. No estoy seguro de si existen herramientas como esa, pero es técnicamente posible establecer límites de tiempo, pero para sesiones, no para programas.