Ir al contenido principal

VNC para teleasistencia

Aunque Gecos dispone de un servicio de teleasistencia, el acceso al mismo es por parte del centro Gecos, por lo que en un principio no nos vale para nuestro departamento IT. Como desconozco si esto es configurable y me gusta hacer las cosas por mi mismo, preferí montar mi propio sistema de teleasistencia.
Para dar asistencia remota al usuario vamos a usar VNC mediante el servidor VNC de Gnome, Vino. Excelente nombre. Instalamos Vino desde el Gecos-cc con el paquete del mismo nombre. Instalamos además gconf2 para poder ejecutar comandos gconftool.

sudo apt install vino gconf2

Los parámetros para activar Vino con garantías de seguridad son


gconftool-2 --set --type=bool /desktop/gnome/remote_access/enabled true
gsettings set org.gnome.Vino authentication-methods "['vnc']" 
gsettings set org.gnome.Vino vnc-password $(echo -n 'contraseña'|base64)

Ahora le ubicamos dos script ejecutables a todos los usuarios en su escritorio mediante políticas del Gecos-cc. Le damos permisos de ejecución también.
Todo esto lo hacemos mediante algún script de inicio de sesión que tengamos preparado y la política del CC adecuada. Que no se nos olvide en dicho script dar permisos de ejecución.
El primer script lanza el servicio, que cogerá el puerto 5900 si está libre. Si no lo está, tomará puertos siguientes. Lo ideal para el servidor de terminales es que una vez se termine la sesión de teleasistencia se cierre el servicio.
Para ello está el segundo script. En el caso de Gecos de la sede, también es bueno que se detenga el servicio por motivos de seguridad.

Además ambos script lanzan notificaciones al usuario de lo que está pasando. El primero además muestra el último octeto de la IP en la que está el usuario, para que nos lo pueda "chivar" al teléfono.

ayuda.sh
#!/bin/bash /usr/lib/vino/vino-server & IP=`hostname -I` IP=`echo $IP | cut -d . -f 4` notify-send -t 0 -i face-wink "Tu IP acaba en: $IP" "Espera a otra notificación parecida a ésta para conceder acceso al informático."


ayuda-desconectar.sh

#!/bin/bash
killall vino-server &
notify-send -t 0 -i face-cool "OK."  "Has desconectado al informático. Ya puedes seguir con el trabajo."
Los aspectos relativos a la seguridad del sistema son los siguientes:
  1. El sistema no está siempre levantado. Sólo arranca a petición del usuario. El técnico IT puede desconectarse una vez terminada la tarea cerrando el servicio mediante doble click en el icono del escritorio.
  2. El sistema soporta contraseña, que el técnico tendrá que introducir para pasar al siguiente paso.
  3. El usuario recibe una notificación en pantalla mediante la cual acepta o deniega la conexión.
  4. El usuario es notificado en todo momento de que está siendo teleasistido, mediante un icono en la bandeja del sistema.
  5. El usuario puede expulsar al técnico en cualquier momento.
  6. El usuario y el técnico pueden cerrar el servicio de VNC en cualquier momento mediante doble click en el icono del escritorio habilitado al efecto.
  7. El cifrado de la conexión está activo por defecto.

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

El error SAF_19 en Autofirma y Firefox (cuando sí tienes certificados válidos instalados)

(Actualización: instalar la firma en todos los perfiles que el sistema haya creado automáticamente también puede ser una solución viable. Para ello arrancamos Firefox desde la línea de comandos con firefox -p y seleccionamos primero un perfil, instalamos el certificado, volvemos a arrancar Firefox con el otro perfil y lo instalamos ahí. Hay que tener cuidado con terminar marcando como predeterminado nuestro perfil real.) En ocasiones y sobre todo si hemos estado trasteando con el sistema nos puede suceder que al intentar acceder a Portafirmas (o cualquier otro servicio que use Autofirma) el sistema nos devuelve un error extraño conocido como error SAF_19, en el que se nos dice que no hay ningún certificado válido en el almacén. Tras ir al almacén de certificados de Firefox comprobamos que todo está bien, que el certtificado con nuestro nombre y apellidos está correctamente instalado y que no hemos dado un salto en el tiempo que haga que las fechas de validez del certificado produzcan
Publicar un comentario
Leer más

Eliminando entradas de dispositivos "extraños" en el visor de ficheros

Un buen día me apareció en mi escritorio de mi sesión de trabajo en el servidor de terminales el icono de una disquetera. Sí, el acceso a una disquetera de las de toda la vida. Los usuarios no podían montarla, por falta de permisos y porque este dispositivo no existía de ninguna de las maneras, pero les daba error cuando pulsaban en ella sin querer y me reportaban la incidencia. Revisé la configuración de la máquina virtual y nada, no aparecía ninguna disquetera en el panel de control de Hyper-V. Así que decidí eliminarla de su UI. Para ello ejecuté lo siguiente: echo "blacklist floppy" | sudo tee /etc/modprobe.d/blacklist-floppy.conf sudo rmmod floppy sudo update-initramfs -u Básicamente lo que conseguimos con ello es decirle al cargador de módulos del kernel que no cargue el controlador de disqueteras. Súbitamente el icono de la misma desaparece del UI. Otra cosa que también debemos de hacer si mantenemos servidores de terminales es evitar compartir carpetas remotas en loca
Publicar un comentario
Leer más

Fuentes. Y no las de agua

Desde el Gecos-CC instalo el paquete “msttfcorefonts” con una política. Además podemos instalar fuentes si las subimos a un servidor web y en el script de inicio de sesión añadimos el código siguiente. USUARIO=`whoami` mkdir -p /home/$USUARIO/.fonts /usr/bin/wget -r -nH --cut-dirs=2 --no-parent --directory-prefix=/home/$USUARIO/.fonts/ -R "index.html" http://intraweb/gecos/fonts /usr/bin/fc-cache -fv No podemos hacerlo en el script de inicio de máquina porque se ejecuta ANTES de arrancar la red, por lo que no puede descargarlas. Imagen de "taitantas" fuentes instaladas en un cliente Gecos sin despeinarse. Bueno, en mi caso dada la imposibilidad de ello, diremos sin pestañear.
Publicar un comentario
Leer más