Ir al contenido principal

VNC para teleasistencia

Aunque Gecos dispone de un servicio de teleasistencia, el acceso al mismo es por parte del centro Gecos, por lo que en un principio no nos vale para nuestro departamento IT. Como desconozco si esto es configurable y me gusta hacer las cosas por mi mismo, preferí montar mi propio sistema de teleasistencia.
Para dar asistencia remota al usuario vamos a usar VNC mediante el servidor VNC de Gnome, Vino. Excelente nombre. Instalamos Vino desde el Gecos-cc con el paquete del mismo nombre. Instalamos además gconf2 para poder ejecutar comandos gconftool.

sudo apt install vino gconf2

Los parámetros para activar Vino con garantías de seguridad son


gconftool-2 --set --type=bool /desktop/gnome/remote_access/enabled true
gsettings set org.gnome.Vino authentication-methods "['vnc']" 
gsettings set org.gnome.Vino vnc-password $(echo -n 'contraseña'|base64)

Ahora le ubicamos dos script ejecutables a todos los usuarios en su escritorio mediante políticas del Gecos-cc. Le damos permisos de ejecución también.
Todo esto lo hacemos mediante algún script de inicio de sesión que tengamos preparado y la política del CC adecuada. Que no se nos olvide en dicho script dar permisos de ejecución.
El primer script lanza el servicio, que cogerá el puerto 5900 si está libre. Si no lo está, tomará puertos siguientes. Lo ideal para el servidor de terminales es que una vez se termine la sesión de teleasistencia se cierre el servicio.
Para ello está el segundo script. En el caso de Gecos de la sede, también es bueno que se detenga el servicio por motivos de seguridad.

Además ambos script lanzan notificaciones al usuario de lo que está pasando. El primero además muestra el último octeto de la IP en la que está el usuario, para que nos lo pueda "chivar" al teléfono.

ayuda.sh
#!/bin/bash /usr/lib/vino/vino-server & IP=`hostname -I` IP=`echo $IP | cut -d . -f 4` notify-send -t 0 -i face-wink "Tu IP acaba en: $IP" "Espera a otra notificación parecida a ésta para conceder acceso al informático."


ayuda-desconectar.sh

#!/bin/bash
killall vino-server &
notify-send -t 0 -i face-cool "OK."  "Has desconectado al informático. Ya puedes seguir con el trabajo." 
Los aspectos relativos a la seguridad del sistema son los siguientes:
  1. El sistema no está siempre levantado. Sólo arranca a petición del usuario. El técnico IT puede desconectarse una vez terminada la tarea cerrando el servicio mediante doble click en el icono del escritorio.
  2. El sistema soporta contraseña, que el técnico tendrá que introducir para pasar al siguiente paso.
  3. El usuario recibe una notificación en pantalla mediante la cual acepta o deniega la conexión.
  4. El usuario es notificado en todo momento de que está siendo teleasistido, mediante un icono en la bandeja del sistema.
  5. El usuario puede expulsar al técnico en cualquier momento.
  6. El usuario y el técnico pueden cerrar el servicio de VNC en cualquier momento mediante doble click en el icono del escritorio habilitado al efecto.
  7. El cifrado de la conexión está activo por defecto.

Comentarios

Entradas populares de este blog

El error SAF_19 en Autofirma y Firefox (cuando sí tienes certificados válidos instalados)

(Actualización: instalar la firma en todos los perfiles que el sistema haya creado automáticamente también puede ser una solución viable. Para ello arrancamos Firefox desde la línea de comandos con firefox -p y seleccionamos primero un perfil, instalamos el certificado, volvemos a arrancar Firefox con el otro perfil y lo instalamos ahí. Hay que tener cuidado con terminar marcando como predeterminado nuestro perfil real.) En ocasiones y sobre todo si hemos estado trasteando con el sistema nos puede suceder que al intentar acceder a Portafirmas (o cualquier otro servicio que use Autofirma) el sistema nos devuelve un error extraño conocido como error SAF_19, en el que se nos dice que no hay ningún certificado válido en el almacén. Tras ir al almacén de certificados de Firefox comprobamos que todo está bien, que el certtificado con nuestro nombre y apellidos está correctamente instalado y que no hemos dado un salto en el tiempo que haga que las fechas de validez del certificado produzcan...

Sirhus en Gecos, ahora que lo tengo calentito (OBSOLETO)

NOTA: Ahora SIRHUS está certificado y se recomienda con Java 1.8.  Instalar Sirhus en Windows puede convertirse en algo dificultoso. Instalarlo sin romper nada es, sin lugar a dudas, digno de admiración. Hacerlo además en Gecos es cosa de elegidos por el Dios del Pingüino, pero hacerlo sin romper nada (como podría ser Portafirmas, que también depende de Java) es tarea de titanes. Subamos al Olimpo pues. Podríamos degradar al pobre de Firefox a una versión anterior a la 52, con soporte para Java, pero sería una pena y el panda rojo no se merece esa tortura. Como lanzador vamos a usar Epiphany, ese navegador de Gnome que algunos usamos alguna vez en el pasado (ejem) y que todavía dispone de soporte para el plugin de Java. Así que tenemos que instalarlo con sudo apt install epiphany-browser Después vamos a descargar la máquina Java desde la web de Oracle. La versión que voy a instalar es la jre1.6.0_43 de 64 bits. Activamos el bit de ejecución a la descarga de Java ...

Sirhus en Gecos, pero con java 1.8

Desde hace no mucho podemos tener Sirhus funcionando con Java 1.8.  Vamos a instalar Java 8 y ponerlo por defecto en nuestra máquina. Para ello ejecutaremos sudo apt install oracle-java8-jre oracle-java8-plugin Una vez lo tengamos instalado para fijar Java 8 ejecutamos  sudo update-alternatives --config javaws Y seleccionamos la versión 1.8 de entre todas las que nos aparezcan como valor por omisión. Y lo mismo para el plugin de Mozilla (que lanzaremos mediante Epiphany, ese "Internet Explorer" de Gecos). sudo update-alternatives --config mozilla-javaplugin.so Luego lanzaremos el ControlPanel para limpiar la caché de applets y ya podemos lanzar Sirhus.