Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzer radikal einschrenken
[MORD]Locutus
08.06.03, 13:49
Hi!
Ich möchte meinen Rechner bei unserer nächsten Oberstufen-Party als Musikplayer benutzen.
Jetzt würde ich aber gerne den dafür geschaffenen User so einschrenken dass man auf nix zugreifen kann außer auf XMMS und auf meine MP3s (sind auf Windows Partition). Hab schon im Forum und bei Google gesucht aber nix passendes gefunden!
Hab SuSE 8.0!
CU
Locutus
Original geschrieben von [MORD]Locutus
Jetzt würde ich aber gerne den dafür geschaffenen User so einschrenken dass man auf nix zugreifen kann außer auf XMMS und auf meine MP3s (sind auf Windows Partition). Hab schon im Forum und bei Google gesucht aber nix passendes gefunden!
baue ein chroot für den user. gibts ein howto dafür.
-j
KDM/GDM abschalten (aus den runllevelscripten rausnehmen)
nutzer mp3player loggt sich im textmodus ein -> .bashrc wird ausgelesen, am ende dieser muss stehen "startx;exit" , dieses liest .xinitrc aus, wo nur drin steht: "xsetroot -solid black; xmms /windows/c/mp3/playlist.m3u"
Damit hat man nur ein XMMS auf schwarzem Hintergrund, wird XMMS beendet wird auch der User ausgelogt.
xmms braucht keinen WM um bewegt zu werden !
xmms hat einen vollstandigen GTK-File-Open-Dialog, also mit Dateien öffnen/hinzufügen wirds wohl keine Probs geben.
für unbedarfte ist das sicher genug, wenn man paranoid ist kann man ja noch /home/mp3player readonly setzten ( wenn xmms da mitmacht ), dann noch den PC in einen Safe und wenn man die Tastatur mit in den Safe packt (und ein entsprechendes Autologin einstellt): perfekt :)
wenns mit dem Safe nicht klappt unbedingt im BIOS Passwort für die einstellungen setzen und Boot from C only !!!
und /windows/c würde ich readonly mounten, da man mit "save playlist" auch dateien überschreiben kann !
Stingray0481
09.06.03, 08:47
Evtl. ist Knoppix auch eine mögliche Lösung. Dort kann der User zwar alle möglichen Programme ausführen, da alle Partitionen aber per default readonly gemountet werden kann er an deinem System nichts verändern.
knoppix ist der tod für deine Platte:
sudo dd if=/dev/zero of=/dev/hda
Stingray0481
09.06.03, 09:01
Stimmt, hatte ich übersehen. :D
Kann man das nicht irgendwie verhindern?
nicht wirklich, es sei denn, du baust dein eigenes Knoppix mit festgelegten Passwörtern und angepasster /etc/sudoers. Desweiteren kann man das System dennoch viel leichter exploiten (inet funzt ja bei knoppix super), als wenn man gleich alles verhindert (wie in meinem beispiel)
würde ich sowas unter windows antreffen (nur mp3player, kein zugriff auf Startmenü, ExplorerShortcut usw.) oder zum Beispiel Citrixfreigabe auf Winamp:
File-Open (es öffnet sich der Windows-File-Open-Dialog): rechtsklick auf einen Ordner - Explorer -> Filemanager, www browser und FTP-Client, was will man mehr :)
Original geschrieben von marcdevil
KDM/GDM abschalten (aus den runllevelscripten rausnehmen)
nutzer mp3player loggt sich im textmodus ein -> .bashrc wird ausgelesen, am ende dieser muss stehen "startx;exit" , dieses liest .xinitrc aus, wo nur drin steht: "xsetroot -solid black; xmms /windows/c/mp3/playlist.m3u"
Damit hat man nur ein XMMS auf schwarzem Hintergrund, wird XMMS beendet wird auch der User ausgelogt.
richtiges timing vorrausgesetzt, unterbricht der user 'startx' mit ctrl-Z und hat seine shell.
besser einen consolenplayer verwenden und das ganze in eine chroot packen. ist sicherer. allerdings muss man abwägen, wie hoch die sicherheit sein soll und ob man den aufwand wirklich betreiben will.
es gibt glaube ich ein howto für so ein kiosk-system. einfach mal danach suchen.
-j
Original geschrieben von Jasper
richtiges timing vorrausgesetzt, unterbricht der user 'startx' mit ctrl-Z und hat seine shell.
Gut, das Problem läßt sich auch lösen:
in /etc/passwd beim user mp3player die shell /bin/bash ändern in /usr/bin/X11/startx
[MORD]Locutus
09.06.03, 21:31
kann ich nicht einfach einen User anlegen und den nur für bestimmte anwendngen freischalten. das hat doch jedes Internetcaffee unter Windoof also muß das doch auch unter Linux gehen. Denn ich würd schon gerne mein KDE benutzen. Sind ja noch andere an meinem Rechner, will ja net den ganzen abend Musik machen sondern auch mal was andres!
Und wie ich diese Linux-Leien kenne kriegen die das in der Konsole net hin!
Das mit der win Partition muß net unbedingt sein, kann ja die mp3s auch ins User Verzeichnis kopieren!
Wäre cool wenn ihr ne Lösung dafür kennt!
MfG
Locutus
hiTCH-HiKER
09.06.03, 21:48
Ich würde Knoppix benutzen und im BIOS die Platten auf nur-lesen stellen.
Linux braucht zwar für viele Dinge das BIOS nicht, aber ich glaube eigentlich kaum das Knoppix eine Platte schrotten kann die übers BIOS auf nur-lesen gestellt wurde.
Naja ausprobieren hilft *g*
Interresanter Thread...waäre einen Sticky wert!
moin moin
jasper hat es schon angesprochen. für kde gibt es einen kiosk-mode => http://webcvs.kde.org/cgi-bin/cvsweb.cgi/kdelibs/kdecore/README.kiosk?rev=1.18.2.5&content-type=text/x-cvsweb-markup
Gruß HL
Wie wäre es denn mit RSBAC: http://www.rsbac.org/
Damit müsste man doch die entsprechenden Einschränkungen setzen können.
Original geschrieben von marcdevil
KDM/GDM abschalten (aus den runllevelscripten rausnehmen)
nutzer mp3player loggt sich im textmodus ein -> .bashrc wird ausgelesen, am ende dieser muss stehen "startx;exit" , dieses liest .xinitrc aus, wo nur drin steht: "xsetroot -solid black; xmms /windows/c/mp3/playlist.m3u"
Damit hat man nur ein XMMS auf schwarzem Hintergrund, wird XMMS beendet wird auch der User ausgelogt.
xmms braucht keinen WM um bewegt zu werden !
xmms hat einen vollstandigen GTK-File-Open-Dialog, also mit Dateien öffnen/hinzufügen wirds wohl keine Probs geben. [...]
Sehr geil, Sehr geil!
Das kommt direkt in meine Notice-File.
THX - selbst wenn ich's jetzt auf anhieb nicht brauche :).
Ciao Havoc][
aber achtung! statt startx;exit in die .bashrc ist die Änderung von /bin/bash in /usr/bin/X11/startx in der /etc/passwd sicherer (siehe weiter oben, warum sicherer)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.