Moin, moin,

ich bin ziemlich neu hier und habe eine grundsätzliche Frage. Ich möchte einen Gastzugriff einrichten, der es erlaubt auf das Internet zuzugreifen ohne, dass ein Zugriff auf vorhandene Festplatten ( also auch nicht lesend) möglich ist. Meine Vorstellung wäre also den Rechner über einen Linux-USB-Stick oder auch über eine Linux-CD zu starten und lediglich Internetzugriff zu ermöglichen. Diese Beschränkung darf auch für einen Linix-Experten nicht zu umgehen sein. Gibt es da Erfahrungen ? Für einen Rat wäre ich sehr dankbar.

Gruß aus Hamburg
heinrichsen

- Von externem Medium booten ist schon mal ne gute Idee

- Die meisten Live-Distributionen bieten AFAIK die Möglichkeit

a) Das OS komplett in den RAM zu laden

b) beim Starten _keine_ Partitionen der HD einzubinden

Wenn der "Surfuser" wie es sich gehört

a) nur eingeschränkte Rechte hat

b) keine fstab existiert bzw. alle Partitionen in der fstab nur als root gemounted werden dürfen

dann ist für die laufende Sitzung die Sache geritzt.

Allerdings könnte der User versuchen, die Kiste runter zu fahren (notfalls mit Reset) und dann erneut vom selben oder einem selbst mitgebrachten Live-Medium zu booten.

Nach dem Starten das Bootmedium entfernen/unzugänglich machen und das Booten von CD/USB im BIOS verbieten und das BIOS per Passwort schützen.

Ist zwar nicht 100%ig sicher (das gibts eh nicht), dürfte aber die meisten User davon abhalten, auf die Platte zu zu greifen.

Das kann man vielleicht noch etwas verbessern (verschlüsselte HD-Partitionen, etc. pp.), aber ob sich das lohnt?

100% Schutz vor Festplattenzugriff bietet dann eh nur Ausbauen.

Greetz,

RM

Moin, moin,

ja so weit so gut. Aber..., das bedeutet letztendlich, dass ich den "Surfuser" letztlich persönlich überwachen muss. Das ist aber nicht gewollt. Er soll schon alleine am PC sitzen und surfen dürfen. Aber eben auch nur das. Trotzdem schon mal danke. Dies Lösung wäre dann wohl ein PC mit reichlich RAM und ohne eingebaute Festplatte. Der Start liefe dann nur über Live-CD oder USB-Stick. Aber so etwas gibt es letztlich nicht.

Gruß aus Hamburg
heinrichsen

solange jemand direkten HW-Zugriff auf das System hat - kann er immer alle Schutzmaßnahmen umgehen. Du kannst es ihm nur "so schwer wie möglich" machen.

Z.B. kannst Du natürlich auch noch eine personalisierte Version erstellen, die z.B. ohne entsprechende Tools daherkommt, die interner Platte verschlüsseln, so daß auch über Fremdsysteme kein lesender Zugriff möglich ist, BIOS-PW und Boot nur über def. Medium, ...

Wobei bei allem immer noch der 1. Abschnitt gilt.

Wenn die Kiste sowieso unter Linux läuft würde ich die Zugriffe auf die sensiblen Daten einfach durch entsprechende Berechtigungen verweigern. Der Gast wird beim booten automatisch angemeldet und alle anderen Nutzer benötigen ein Passwort.

Eine Live-CD hat den klaren Nachteil dass booten von CD oder USB eingeschaltet sein muss. So ein Datenträger lässt sich aber wesentlich einfacher austauschen als die interne Platte. :eek:

Wenn das BIOS-Setup durch ein Passwort geschützt ist kannst Du booten von externen Datenträgern verbieten und dadurch die Benutzung des Systems auf der Platte erzwingen. :cool:

Einen gewissen Schutz vor Datenklau gibt es eh nur durch Verschlüsselung solange der Zugang zur Hardware möglich ist.

Eine Live-CD hat den klaren Nachteil dass booten von CD oder USB eingeschaltet sein muss. So ein Datenträger lässt sich aber wesentlich einfacher austauschen als die interne Platte. :eek:
intern verbaute / angeschlossene CD-Roms oder USB-Sticks (also _im_ Gehäuse, nicht von extern zugängig)...

Möglichkeiten gibt's einige - was davon praktikabel ist, hängt davon ab, was der TE denn nun konkret und aus welchem Grund erreichen will.

Wenn es nur darum geht, einer Person X "kurz mal" PC-Zugriff zum Surfen zu geben, ohne, daß auf die interene HD zugegriffen werden kann ist denke ich die (entsprechend konfigurierte / kastrierte) USB-Stick oder LiveCD in Verbindung mit BIOS-PW und HD-Verschlüsselung die sinnvollste Möglichkeit...

Wenn es sich dagegen (und so klingt es für mich) um eine Art "Internet-Cafe"-Situation handelt.... muss er schon etwas Aufwand treiben.

Was haltet Ihr davon Wene's Lösung zu installieren und die PC Hardware "in einen Käfig" einzuschließen ? Sobald der Nutzer nicht mehr an die Hardware rankommt lässt sich über die Linux-Mechanismen schließlich einiges machen ....

Wenn es nur darum geht, einer Person X "kurz mal" PC-Zugriff zum Surfen zu geben, ohne, daß auf die interene HD zugegriffen werden kann ist denke ich die (entsprechend konfigurierte / kastrierte) USB-Stick oder LiveCD in Verbindung mit BIOS-PW und HD-Verschlüsselung die sinnvollste Möglichkeit...

Das wäre eigentlich die richtige Möglichkeit, aber: wie erstellt man denn so eine "kastrierte" Version. Das könnte mir schon weiterhelfen.

Gruß aus Hamburg
heinrichsen

Gerade für den Zugriff "mal eben" halte ich eine Live CD für zuviel Aufwand. Abgesehen davon dass man unter Umständen eine nicht ganz unerhebliche Paketauswahl anpassen muss benötigt das System für den Zugriff "mal eben" einen Neustart.

In der Variante "Gut abgeschirmter Benutzer im selben System" können sogar beide Benutzer gleichzeitig angemeldet sein und sich bei der Benutzung des Computers abwechseln.
Damit der "Gast" selbst in seinem Homeverzeichnis keine Daten verändern kann könntest Du ihn ja in einem Loopback- Image einsperren welches "nach Gebrauch" wieder durch ein Original ersetzt wird.
Der zu betreibende Aufwand für die selbe Sicherheitsstufe ist dabei sicher erheblich geringer.

Ein weiterer Vorteil wäre dass man bei Bedarf den Zugriff z.B. auf einen gemeinsamen Datenaustauschordner ohne Mühe sofort einrichten kann.

@marce: Sorry, aber den ganzen Aufwand für so eine einfache Anwendung ist in meinen Augen einfach nur Overkill.

sehe ich eigentlich genau so - wenn da nicht "kein lesender Zugriff auf irgendeine Festplatte" stünde.

Das muß der TE aber selbst wissen - soll er sich halt mal nach remastering-Anleitungen umsehen, ob der Aufwand dann gerechtfertigt ist kann er dann selbst entscheiden.

Solang man Ziel und Zweck des ganzen nicht kennt bleibt ja nur derartiges Spekulieren.

Professioneller Einsatz im Internet-Kaffee?
"Halbprofessioneller" Demonstrationsrechner?
Jemand, der will, dass Lebensgefährtin/-gefährte auch ganz sicher nicht die vielen Pornos auf der Platte findet?
Ein Vater der sichergehen möchte, dass sein Kind auf ganz sicher nur auf Wikipedia für die Hausaufgaben recherchiert, ohne sonstwas am Rechner zu tun?

Denkbar ist vieles.
Und für alles gibt es verschiedene Lösungen und jeweils mindestens eine optimale.

sehe ich eigentlich genau so - wenn da nicht "kein lesender Zugriff auf irgendeine Festplatte" stünde.

Naja, zusätzlich steht da auch "ich bin ziemlich neu hier". Bei solchen Formulierungen und der Fülle an Informationen neige ich dazu, zwischen den Zeilen zu lesen. :rolleyes:
Aus Erfahrung im Beruf weiss ich dass viele Kunden das eigentliche Problem überspringen und die Frage auf ein daraus resultierendes Folgeproblem konzentrieren.

@Krischi: Hast recht, ohne genaue Angaben über das eigentliche Ziel sind das nur Spekulationen.

prinzipiell ja, aber :-)

Vom Ausgangsposting her ist die Aufgabenstellung, wie ich finde, eigentlich ausreichend genau spezifiziert - und klingt auch nicht unbedingt nach "das Problem nicht erkannt" (sondern vielleicht nur nach "speziellen Wünschen und Anforderungen") - er verlangt ja auch insbesondere nach Erfahrungsberichten.

Das die meisten das vermutlich anders lösen würden hat damit erstmal ja nichts zu tun.

(ein Bekannter von mir hat z.B. ein Geschäftslaptop, den er auch privat verwenden darf. Es gibt für das Ding 2 Boot-CDs - eine für geschäftliche und eine für die private Nutzung. Und nur mit der Firmen-Boot-CD, ein paar Passworten und AFAIK einem USB-Dongle ist lesender Zugriff auf div. crypted-FS möglich. So weit ist die Lösung von der vom TE gewünschten nicht entfernt)

Ob alles weitere Spekulation ist oder nicht - es gibt div. Möglichkeiten, das vom TE gewünschte zu erreichen, welche er schlussendlich umsetzt bleibt zu erst mal ihm überlassen...

Moin, moin,

um den Spekulation ein Ende zu bereiten: Es ist ganz einfach. Ich bekomme öfter Besuch und der möchte dann mal eben seine Mails abrufen können. Dagegen habe ich nichts. Nur sollte er nicht auf meine Platten zugreifen können. Das ist dann wirklich Datenschutz. Insofern ist die Situation "Internet-Cafe" eigentlich die richtige Beschreibung. Nur halt auf privater Basis.
Ich hoffe zur Erhellung der Situation beigetragen zu haben obwohl da nichts Anderes steht als auch zuvor.

Gruß aus Hamburg
heinrichsen

PS: Auf dem Rechner existiert zur Zeit nur Windows XP

In dem Fall gibt es mehrere (IMHO) brauchbare Lösungen.

Man könnte einfach einen Benutzer erstellen, der die Daten nicht lesen darf. (dürfte wohl die einfachste Mögichkeit sein...)

Oder die Daten verschlüsseln, und per Timeout aushängen, wenn sie über einen bestimmten Zeitraum nicht verwendet wurden.

Oder einen User anlegen, der nur den Browser starten darf und sonst gar nichts.

Oder eine der hier schon genannten Möglichkeiten.

Oder eben eine Kombination aus mehreren. ;)


Vorraussetzung für das ganze ist natürlich immer, dass der Zugriff aufs BIOS und die Options-mitgabe per Bootloader unterbunden wird.

Ach ja...
Und natürlich noch ein eigener Rechner für diese Gäste, in dem eben gar keine Platten sind, sondern lediglich ein Live-Medium gestartet wird.

Separate Gruppe + Nutzer anlegen die nur Surfen dürfen .. und auf ihr Home Verzeichnis zugreifen ...

Würde ich so machen.. dann Boot von externem Medium untersagen und fertig..

Dein Szenario klingt auffallend nach "neugieriger Schwiegermama".. nur hat die ja in der Regel nicht so viel Computerwissen...

Dass deine Gäste anfangen den PC zu zerlegen halte ich eher für unwahrscheinlich .. oder ?

Moin, moin,

um den Spekulation ein Ende zu bereiten: Es ist ganz einfach. Ich bekomme öfter Besuch und der möchte dann mal eben seine Mails abrufen können. Dagegen habe ich nichts. Nur sollte er nicht auf meine Platten zugreifen können. Das ist dann wirklich Datenschutz. Insofern ist die Situation "Internet-Cafe" eigentlich die richtige Beschreibung. Nein, denn "Internet-Cafe" verlangt wesentlich mehr.
Du hast ganz genau zwei Möglichkeiten:

1. Du vertraust der Person / den Personen so weit, dass z.B. ein einfaches Einsperren im eigenen Nutzerkonto oder der Einsatz einer Live-CD reicht.
2. Du lässt die Person(en) einfach nicht an den Rechner.

Alles andere ist Unfug.

Wenn mir jemand seinen Rechner zur Verfügung stellt damit ich meine Mails checken kann ist es selbstverständlich dass ich sein Vertrauen nicht missbrauche...

Man liest ja auch nicht anderer Leute Tagebuch ...

Wenn mir jemand seinen Rechner zur Verfügung stellt damit ich meine Mails checken kann ist es selbstverständlich dass ich sein Vertrauen nicht missbrauche...

Man liest ja auch nicht anderer Leute Tagebuch ...

Auch nicht, wenn sie es Dir in die Hand geben? ;)

Was ich damit sagen will: Gelegenheit mach Diebe. Und nicht jeder ist so vertrauenswürdig, wie Du das vielleicht bist. Schwarze Schafe gibt es überall. Leider.

Für mich ist Privatsphäre etwas sehr wichtiges.

Anderer Leute Tagebuch lese ich dann und nur dann (eventuell ;) ) wenn sie mich dazu auffordern. Punkt.


Wenn ich anderer Leute Computer benutzen darf dann sind das meist Leute die weniger Ahnung von PCs haben als ich.. und das auch wissen... diese Art Vertrauensbruch wäre arg daneben.

Wenn jemand ein paar Tage zu Gast käme und ich ihm Internetzugang durch meinen PC zur Verfügung stellen würde würde ich ihm ein Konto mit eingeschränkten Rechten einrichten ... und mich darauf verlassen dass er keine illegalen Dateien hoch oder runterlädt.. auch darauf muss man sich verlassen können.. wenn nicht.. lieber nicht an den PC ranlassen...


Wer mich hier besucht tut dies allerdings nicht um im Inet zu surfen :D dazu bietet diese Gegend einfach zu viel ...

Ich bekomme öfter Besuch und der möchte dann mal eben seine Mails abrufen können. Dagegen habe ich nichts. Nur sollte er nicht auf meine Platten zugreifen können. Das ist dann wirklich Datenschutz.

Dafür reicht es, dem Gast einen stark eingeschränkten Benutzeraccount zur Verfügung zu stellen.

Natürlich kann er dann sowohl lesend als auch schreibend auf Teile der Platte zugreifen.
Lesender Zugriff ist eine Grundvoraussetzung um Programme wie den Browser und dessen Einstellungen einlesen zu können.
Schreibzugriff auf das Home-Verzeichnis ist normalerweise auch erlaubt. Kann ja sein dass der Gast mal etwas herunterladen muss. (Ich denke da an PDF Dateien aus den Mails etc.)

Dies ist aber noch lange kein Eingriff in Deine Privatsphäre. Solange Du Deine heiklen Daten nur innerhalb Deines Homeverzeichnisses ablegst und dem Gast darauf keinen Zugriff gewährst ist Diese Anforderung erfüllt.

Wenn dennoch Paranoia aufkommt kannst Du Dein Zeug immer noch verschlüsseln. :D


Insofern ist die Situation "Internet-Cafe" eigentlich die richtige Beschreibung. Nur halt auf privater Basis.

Nein, ganz sicher nicht. Den Unterschied wirst Du feststellen wenn Du mal ein Internetcafe besuchst. :p


Ich hoffe zur Erhellung der Situation beigetragen zu haben obwohl da nichts Anderes steht als auch zuvor.

Ja hast Du. Und auch wenn Du es nicht bemerkt hast, "Keinen lesenden Zugriff auf die Festplatte ermöglichen" und "Einfachen Internetzugang ohne Zugriff auf meine privaten Daten" sind zwei komplett verschiedene Anforderungen.

Denk mal darüber nach wieviel Aufwand Du für Einrichtung und Pflege des Systems betreiben möchtest.
Ein komplettes Betriebssystem zu installieren, konfigurieren und Zugriffe auf bestimmte Bereiche zu unterbinden ist wesentlich mehr Aufwand und birgt höhere Risiken als einfach mit Bordmitteln den Zugriff auf Dein Homeverzeichniss zu verbieten. Und wie ich es zuletzt verstanden habe ist dies Dein wahres Ziel.


PS: Auf dem Rechner existiert zur Zeit nur Windows XP

Die Anforderung, dem Gast einen einfachen Internetzugang zu gewähren kannst Du auch damit erfüllen. Mit der XP Professional Version etwas einfacher als mit XP Home.

Ich will Dich damit sicher nicht von dem Vorhaben abhalten, Linux kennen zu lernen. :cool: Allerdings sollte es IMHO aus eigenem Interesse geschehen und nicht weil Du damit andere ausschliessen willst.

Ein Betriebssystem zu installieren (egal welches) ist eine Sache. Dieses danach aber auch noch "sicher" einzurichten eine ganz andere. Die Anforderungen die Du zuletzt beschrieben hast erfüllen alle populären Betriebssysteme bei entsprechender Konfiguration.

erfüllen alle populären Betriebssysteme bei würde ich ersetzen durch "zeitgemäße" .. Win 9x kann das noch nicht, Win 2000 / ME kenne ich nicht, aber NT und XP und Vista auf alle Fälle.

Unter Linux würde ich eine Gruppe "Gast" einführen die dann eingeschränkte Rechte hat (CD / DvD lesen / abspielen ? CD Brenner ? Drucker ? ) Wenn die Gruppe "Gast" nun keine Zugriffsrechte auf die "home " Verzeichnisse der Gruppe "user" hat kann keiner deine Daten lesen.

Dann noch im Bios ein Passwort setzen und verhindern dass von externen Medien gebootet wird... dann muss man deinen PC aufschrauben oder das Betriebssystem zum Absturz bringen um als "GAst" an deine Daten ranzukommen.

Das müsste für den Hausgebrauch eigentlich reichen...

würde ich ersetzen durch "zeitgemäße" .. Win 9x kann das noch nicht, Win 2000 / ME kenne ich nicht, aber NT und XP und Vista auf alle Fälle.

Ich würde Win9x und NT so ungefähr seit 8 Jahren nicht mehr als "populär" bezeichnen.
Selbstverständlich erst recht nicht als Zeitgemäss, wobei man sich hier auch um XP (2001) streiten kann. :p

Nach dem Booten von einer Live CD müßte aber noch ein root-PW gesetzt werden, sudo gecheckt werden und das CD-Booten kann man ja wohl innerhalb der laufenden Linux-Sitzung schwer abstellen, ebenso das BIOS-PW setzen (das kann man aber davor setzen). Man könnte aber USB-Boot einstellen und von externem CD-LW booten und dann im Web mal nach "USB Schloß" oder so suchen - das sind so kleine Geräte, die man in alle USB-Anschlüße steckt und die dann per rudimentärem oder gutem (?) Schloß absichern, dass man nicht nochmals vom exteren CD-LW booten kann.

Bei XP ist doch prinzipiell der Rechner offen, da das Rechtesystem bei weitem nicht so gut umgesetzt ist wie bei Linux. Und wenn doch: Viel zu viele Lücken. Der gute Besucher schmeißt einmal den IE an und schon ist das ganze Rechtesystem ausgehebelt (kann sehr schnell gehen). Also damit würde ich ganz sicher niemanden ins Netz lassen (nur unter Aufsicht aus meinem Account) - dann doch lieber Live CD, da kann er das RAMsystem kaputtspielen (und man selber nur hoffe, dass er die, ggf. auch verschlüsselten, Partitionen nicht irgendwie killt (Zugriffsrechte für dd und rm erlangen usw., wie auch immer - ist halt ein Live System, ständig neue Versionen und Änderung der Konfig und Risiken).