Wir bekommen in unseren Oberstufenraum einen PC, der soll zum surfen genutzt werden, auch für die "kleineren" Kinder und wir wollen ihn als Mp3-Station nutzen. Wir wollen den PC wahrscheinlich mit debian austatten.

So das vorweg. Aber der PC muss abgesichert werden gegen den Zugriff von kleinen Hackerkids:D. Weniger aus dem Netzwerk, da kann man ja alles zu diesem PC dichtmachen. Sondern mehr lokal. Ich habe mir das bis jetzt so gedacht:

1.) minimal Installation, dann X dazu, Mp3 Player, und Browser
2.) Alle Rechte mit denen, die Kinder was anfangen könnten werden entzogen.( Auch lesezugriff auf einige /etc Sachen)
3.) Sie loggen sich mit rbash ein.
4.) Squid und Squidguard überwachen den Internerverkehr.( keine Pornosites etc. )
5.) Ein Perl-Script zum parsen der Logfiles von Squid
6.) Firewall: kein Zugriff von außen, nur 80 und DNS sind zugelassen, vielleicht von FTP
7.) Die Kinder dürfen die Configfiles des Browsers nicht ändern.(vielleicht ein kleines Problem)
8.) Für Diskette und Cd muss ich mir noch was einfallen lassen

Hab ihr noch Ideen Vorschläge, wie man das noch verbessern könnte ? Oder etwas anders machen kann ?

THX
Steve


PS von LIDS oder sonstigem werde ich die Finger lassen, weil es mir einfach zu lange dauert und ich das auch übertrieben finde für die Schule.

Hi BadSteve!

Original geschrieben von Badsteve

6.) Firewall: kein Zugriff von außen, nur 80 und DNS sind zugelassen, vielleicht von FTP

Webserver auf dem KlassenPC? Ansonsten würde ich Squid gleich als Transparenten Proxy einrichten, damit nicht jemand einfach den Proxy umgeht.


7.) Die Kinder dürfen die Configfiles des Browsers nicht ändern.(vielleicht ein kleines Problem)

Schreibrecht auf die Dateien entziehen und dem Benutzer root zuordnen? Wird schon gehen. Momentan läuft hier ein Thread "Kernel-Bug", der könnte Dich interessieren.


8.) Für Diskette und Cd muss ich mir noch was einfallen lassen

Das wird sicher kein Problem. Kann man ja wunderbar über Gruppen regeln. Wer nicht in der Gruppe "floppy" ist, kann keine Disketten lesen oder schreiben. Beispielsweise...

Gruß,
Taylor

Das wird sicher kein Problem. Kann man ja wunderbar über Gruppen regeln. Wer nicht in der Gruppe "floppy" ist, kann keine Disketten lesen oder schreiben. Beispielsweise...


Das Problem ist dabei, dass ich nicht für jeden Schüler einen User anlegen kann. Also geht das so nicht.



Webserver auf dem KlassenPC? Ansonsten würde ich Squid gleich als Transparenten Proxy einrichten, damit nicht jemand einfach den Proxy umgeht.

raus nicht rein, aber mal schauen




Schreibrecht auf die Dateien entziehen und dem Benutzer root zuordnen? Wird schon gehen. Momentan läuft hier ein Thread "Kernel-Bug", der könnte Dich interessieren.


habe ich anfangs mal gelesen. Es wird aber eh kein KDE zum Einsetz kommen. Ich hatte aber mal gehört, dass irgendein Browser nicht startete, wenn man den Besitzer der Config-File ändert. Sonst muss ich sie halt bei jedem Anmelden "erneuern".


Steve, THX

Original geschrieben von Badsteve
Es wird aber eh kein KDE zum Einsetz kommen.
Du solltest den Thread vielleicht nochmal durchlesen. Das ist kein KDE spezifisches Problem

Original geschrieben von Badsteve
Das Problem ist dabei, dass ich nicht für jeden Schüler einen User anlegen kann. Also geht das so nicht.

In der Tat, Du könntetst nur generell die Benutzung des Diskettenlaufwerks erlauben oder verbieten.
Oder Du erlaubst jedem Lese- und nur bestimmten Schreibzugriff, indem Du die Rechte bei root:floppy auf 664 setzt.

Ist das nicht das, was Du möchtest?

Gruß,
Taylor

Du solltest den Thread vielleicht nochmal durchlesen. Das ist kein KDE spezifisches Problem

*heul* habs gerade probiert, geht bei mir auch.



In der Tat, Du könntetst nur generell die Benutzung des Diskettenlaufwerks erlauben oder verbieten.
Oder Du erlaubst jedem Lese- und nur bestimmten Schreibzugriff, indem Du die Rechte bei root:floppy auf 664 setzt.

Ist das nicht das, was Du möchtest?

ja genau, ich stehe immernoch in der Mitte, weil einseits ist es ganz nützlich andereseit können da "böse" Sachen angeschleppt werden. Genau wie am CDrom.
Ich muss mich wohl für das erlauben entscheiden, also wäre das auch erledigt.

hy,
ich habe bei pro-linux einen tip über einloggen ohne passwort gefunden http://www.pro-linux.de/news/2002/4764.html
damit könntest du doch den user surf mit entsprechenden Rechten versehen. Hat halt den Nachteil das keine Kontrolle besteht wer was gemacht aber als Surfstation.
Gruß AB

Schalt halt nen Autologin mit nem Schülerbenutzer, der nichts darf, und wenn einer der Administratoren mehr will, kann er ja umloggen.

Original geschrieben von Elektronator
Schalt halt nen Autologin mit nem Schülerbenutzer, der nichts darf, und wenn einer der Administratoren mehr will, kann er ja umloggen.


ich glaube so werde ich das auch machen. Ich werde das homeverzeichnis ganz einfach bei jedem einloggen neu erstellen bzw. in die Grundform zurückversetzen. Die Platte mit den MP3 werde ich auch durchsuchen lassen.

@ AB65

danke für den Tipp