Newbie314
03.08.10, 22:23
Der Thread kommt von hier: http://www.linuxforen.de/forums/showthread.php?t=268309
Es geht darum dass in einem Pförtnerhäuschen ohne direkte Sicht durch den Wachdienst ein kleiner Laptop mit Xubuntu laufen soll der Internet Zugang auf Seiten gewähren soll die auf einer Positivliste stehen. Und sonst nichts. ;)
(Seiten eines Sportvereins mit verschiedenen Sparten.)
Der Laptop wird per LAN- kabel über ein ganz normales DSL mit dem Internet verbunden.
An der Steckdose wird das LAN Kabel festgeschraubt, die Interfaces des Laptop selbst werden durch einen abschließbaren Kasten geschützt. (Ethernetkabel abziehen / USB Stick einstecken etc. soll damit verhindert werden.)
Bios Passwort ist gesetzt, Grub2 Passwort auch (damit niemand von extern booten kann),
ein eingeschränkter User ist eingesetzt der a) keine externen Laufwerke "mounten" kann,
b) bei dem alle Verzeichnisse auf die er Schreibzugriff hat auf "noexec" Partitionen gemounted sind. (Das home Verzeichnis des Users, /tmp, /var/tmp und var/crash )
Die Positiv Liste wollte ich per iptables verwirklichen.
Gegenwärtig hat der User einen Auto-Login in dem der Firefox startet, es läuft kein XFCE oder anderer Fenstermanager.. nur der GDM und natürlich X.
Der User hat die Home shell /usr/bin/false.
Ich möchte nun verhindern dass er irgendwelche anderen Programme starten kann. Bisher geschieht das indem kein Fenstermanager läuft. Das hat aber Nachteile:
Das Separate Download Fenster das sich beim Lesen von PDF Dateien öffnet lässt sich nicht per Maus sondern nur per ESC Taste entfernen.. da könnte ich evtl. einen Zettel hinkleben...
Nach längerer Zeit wird zwar der Bildschirm dunkel, aber ich hätte auch gerne dass die Platte "herunterfährt" und der Rechner sich schont.. geht das bei so einem alten Ding .. ohne Fenstermanager ?
Wenn ich den XFCE doch starten muss: wie verhindere ich dass unter diesem User Programme außer Firefox und dem PDF Reader gestartet werden? Ich will auch nicht dass jemand mit dem Dateimanager auf der Platte herumstöbert (wehret den Anfängen...).
Der Admin User soll dagegen den xfce und die bequeme Update GUI von Xubuntu nutzen können (ich weiß, ich bin ein Weichei ....).
Gegenwärtig realisiere ich das mit "sudo stop gdm" und "sudo startxfce4".
Außerdem würde ich gerne die Firefox Konfiguration so absichern dass niemand etwas verstellt... und die ctrl + alt + del Tasten so "umlegen" dass der Laptop damit heruntergefahren wird.
(Mittelfristig wird einfach einmal per Tag per crond das home Verzeichnis des Surf Nutzers gelöscht und neu angelegt werden...).
Für Tipps bin ich dankbar.. vor allem auch in Bezug auf Sicherheitslücken.
Es geht darum dass in einem Pförtnerhäuschen ohne direkte Sicht durch den Wachdienst ein kleiner Laptop mit Xubuntu laufen soll der Internet Zugang auf Seiten gewähren soll die auf einer Positivliste stehen. Und sonst nichts. ;)
(Seiten eines Sportvereins mit verschiedenen Sparten.)
Der Laptop wird per LAN- kabel über ein ganz normales DSL mit dem Internet verbunden.
An der Steckdose wird das LAN Kabel festgeschraubt, die Interfaces des Laptop selbst werden durch einen abschließbaren Kasten geschützt. (Ethernetkabel abziehen / USB Stick einstecken etc. soll damit verhindert werden.)
Bios Passwort ist gesetzt, Grub2 Passwort auch (damit niemand von extern booten kann),
ein eingeschränkter User ist eingesetzt der a) keine externen Laufwerke "mounten" kann,
b) bei dem alle Verzeichnisse auf die er Schreibzugriff hat auf "noexec" Partitionen gemounted sind. (Das home Verzeichnis des Users, /tmp, /var/tmp und var/crash )
Die Positiv Liste wollte ich per iptables verwirklichen.
Gegenwärtig hat der User einen Auto-Login in dem der Firefox startet, es läuft kein XFCE oder anderer Fenstermanager.. nur der GDM und natürlich X.
Der User hat die Home shell /usr/bin/false.
Ich möchte nun verhindern dass er irgendwelche anderen Programme starten kann. Bisher geschieht das indem kein Fenstermanager läuft. Das hat aber Nachteile:
Das Separate Download Fenster das sich beim Lesen von PDF Dateien öffnet lässt sich nicht per Maus sondern nur per ESC Taste entfernen.. da könnte ich evtl. einen Zettel hinkleben...
Nach längerer Zeit wird zwar der Bildschirm dunkel, aber ich hätte auch gerne dass die Platte "herunterfährt" und der Rechner sich schont.. geht das bei so einem alten Ding .. ohne Fenstermanager ?
Wenn ich den XFCE doch starten muss: wie verhindere ich dass unter diesem User Programme außer Firefox und dem PDF Reader gestartet werden? Ich will auch nicht dass jemand mit dem Dateimanager auf der Platte herumstöbert (wehret den Anfängen...).
Der Admin User soll dagegen den xfce und die bequeme Update GUI von Xubuntu nutzen können (ich weiß, ich bin ein Weichei ....).
Gegenwärtig realisiere ich das mit "sudo stop gdm" und "sudo startxfce4".
Außerdem würde ich gerne die Firefox Konfiguration so absichern dass niemand etwas verstellt... und die ctrl + alt + del Tasten so "umlegen" dass der Laptop damit heruntergefahren wird.
(Mittelfristig wird einfach einmal per Tag per crond das home Verzeichnis des Surf Nutzers gelöscht und neu angelegt werden...).
Für Tipps bin ich dankbar.. vor allem auch in Bezug auf Sicherheitslücken.