Ne Harte Nuss für Linux-Profis

[fistro]

hab folgendes Problem:

Ich muss für ein öffentlich zugängliches, unbeaufsichtigtes Surfterminal (Rechnergehäuse ist allerdings

unter Verschluss) ein SICHERES(!) System installieren, am besten Linux. Der Rechner soll nach (neu)Start

direkt einen (restriktiven) User auto-einloggen, eine graf. Oberfläche und einen Browser starten. Das

surfen soll bis auf "Downloadverbot" (z.B. lokale Firewall für Binary-Content) möglich sein, ansonsten

darf der User aber am System selbst nix machen. Selbst der Logout sollte am Besten kennwortgeschützt sein

(für Admin-Login).

ok - ich erwarte hier natürlich keine Schritt-für-Schritt-Anleitung, aber vielleicht hat jemand das

schonmal gemacht, kennt irgendwelche Quellen zum nachlesen oder meint, dass sei garnicht so schwierig.

Für jeden Hinweis bin ich dankbar (bitte Mail an krutwig@gmx.de ).

Danke
Michael


(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen ;-)

[Belkira]

http://dot.kde.org/997748764/

[b-tommy]

moin;

was hältst du denn davon, eine cd-version einzusetzen?

knoppix beispielsweise ist ne debian on a cdrom und von dieser bootbar..

damit wäre jede veränderung am system von vornherein ausgeschlossen

ciao

tommy

[fistro]

Erstmal allen THANX mit dickem X für die Hilfe!!

Wer fit ist und sich eine solche Linux-Installation zutraut, für den haben wir jetzt sogar ein NOTEBOOK

ZU VERSCHENKEN. Richtig gehört, wir bieten für 1 x Linux installieren ein fettes Notebook als Prämie! Hab

ne Seite dazu eingerichtet:


http://www.krumedia.com/cgi-bin/kxc/...dnr=1029889863

Gruesse,
Michael

[Belkira]

Das Surfen soll nur mit "Downloadverbot" (z.B. lokale Firewall für Binary-Content)

Ähm, Firewall für "binary content", da hätte ich keine Idee, wie das gehen sollte. Aber den Browser in einer chroot-, read-only- oder quota-Umgebung zu starten, in der mangels keine oder keine großen Downloads möglich sind, das wäre die naheliegende Lösung.

[MrIch]

mein Vorschlag wäre squid lokal auf der Kiste zu installieren und damit entsprechende Beschränkungen im Bereich Download festzulegen!

[Belkira]

Squid als transparenter Proxy versteht sich von selbst, allein schon als bequemer Weg, URLs zu erlauben und zu verbieten.

[Harry]

Hallo,

Original geschrieben von Belkira
Squid als transparenter Proxy versteht sich von selbst

da dieses Thema hier immer mal wieder auftaucht und als ultimative Lösung verkauft wird:
Squid im transparenten Modus kann kein SSL/TLS und sichere Transaktionen übers Web (die ja zweifellos immer mehr Verbreitung finden) sind somit von vorneherein ausgeschlossen.
Der transparente Modus des Squid stammt aus einer Zeit, zu der fast niemand wußte, was SSL ist und es daher auch niemanden interessiert hat.
_Damals_ war dieser Modus eine tolle Sache; heute jedoch ist ein solches Vorgehen nicht wirklich eine Lösung.

Harry

[Belkira]

Ok, daß HTTPS nicht funktioniert, wenn man auch port 443 transparent an Squid weiterleitet, merkt man ja. Vielleicht reichen alternativ schon Voreinstellungen beim Proxy und entsprechende restriktive Zugriffsrechte bei den Config Dateien im Browser, damit der Nutzer nichts ändern kann. Lösungen, die Modifikationen am Source Code erfordern, sind aus zeitlicher Sicht ein Problem. Ich habe nicht vor, mich um die Entwicklung eines Kiosk-Systems zu kümmern, aber anfangen sollte dies mit einem detailierten Anforderungsprofil.