Ne harte Nuss für Linux-Profis ...
Ne harte Nuss für Linux-Profis ...
Ne Harte Nuss für Linux-Profis
hab folgendes Problem:
Ich muss für ein öffentlich zugängliches, unbeaufsichtigtes Surfterminal (Rechnergehäuse ist allerdings unter Verschluss) ein SICHERES(!) System installieren, am besten Linux. Der Rechner soll nach (neu)Start direkt einen (restriktiven) User auto-einloggen, eine graf. Oberfläche und einen Browser starten. Das surfen soll bis auf "Downloadverbot" (z.B. lokale Firewall für Binary-Content) möglich sein, ansonsten darf der User aber am System selbst nix machen. Selbst der Logout sollte am Besten kennwortgeschützt sein (für Admin-Login).
ok - ich erwarte hier natürlich keine Schritt-für-Schritt-Anleitung, aber vielleicht hat jemand das schonmal gemacht, kennt irgendwelche Quellen zum nachlesen oder meint, dass sei garnicht so schwierig. Für jeden Hinweis bin ich dankbar (bitte Mail an krutwig@gmx.de ).
Ciao
Michael
(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
hab folgendes Problem:
Ich muss für ein öffentlich zugängliches, unbeaufsichtigtes Surfterminal (Rechnergehäuse ist allerdings unter Verschluss) ein SICHERES(!) System installieren, am besten Linux. Der Rechner soll nach (neu)Start direkt einen (restriktiven) User auto-einloggen, eine graf. Oberfläche und einen Browser starten. Das surfen soll bis auf "Downloadverbot" (z.B. lokale Firewall für Binary-Content) möglich sein, ansonsten darf der User aber am System selbst nix machen. Selbst der Logout sollte am Besten kennwortgeschützt sein (für Admin-Login).
ok - ich erwarte hier natürlich keine Schritt-für-Schritt-Anleitung, aber vielleicht hat jemand das schonmal gemacht, kennt irgendwelche Quellen zum nachlesen oder meint, dass sei garnicht so schwierig. Für jeden Hinweis bin ich dankbar (bitte Mail an krutwig@gmx.de ).
Ciao
Michael
(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Re: Ne harte Nuss für Linux-Profis ...
Hi,
nimm doch einfach ein live-System, dass von CD bootet, da kann man nix ruinieren.
Und wo keine Platte drin ist, kann auch nix downgeloadet werden, oder die Platte im
Bios auf ro stellen. - ruhe ist.
Gruß Klaus
nimm doch einfach ein live-System, dass von CD bootet, da kann man nix ruinieren.
Und wo keine Platte drin ist, kann auch nix downgeloadet werden, oder die Platte im
Bios auf ro stellen. - ruhe ist.
Gruß Klaus
Re: Ne harte Nuss für Linux-Profis ...
hi
wäre auch an einer lösung interessiert
aber nur userbezogen (leider keine livecd möglich)
sondern nur wen sich user xy einloggt das der dann nur surfen kann.
alle anderen aber normal arbeiten können.
mfg arno
wäre auch an einer lösung interessiert
aber nur userbezogen (leider keine livecd möglich)
sondern nur wen sich user xy einloggt das der dann nur surfen kann.
alle anderen aber normal arbeiten können.
mfg arno
Re: Ne harte Nuss für Linux-Profis ...
Na ja, einfach die Platte auf ro ist nicht der bringer.
Es gibt zuviele daemons die Schreibzugriff brauchen.
Gucke dir mal Knoppix an!
Einfach viel RAM rein schnelles CD-Rom. Und fertig.
Die Gefahr das einer dir dein schönes Surf-Terminal zerschraddelt ist groß..
Ansonsten wäre eine Menge Änderungen nötig.
Gruss Max
Es gibt zuviele daemons die Schreibzugriff brauchen.
Gucke dir mal Knoppix an!
Einfach viel RAM rein schnelles CD-Rom. Und fertig.
Die Gefahr das einer dir dein schönes Surf-Terminal zerschraddelt ist groß..
Ansonsten wäre eine Menge Änderungen nötig.
Gruss Max
Re: Ne harte Nuss fr Linux-Profis ...
Hallo,
warum das Rad zum zweitenmal erfinden:
<a href="http://dot.kde.org/997748764/" target="_blank"><!--auto-->http://dot.kde.org/997748764/</a><!--auto-->
warum das Rad zum zweitenmal erfinden:
<a href="http://dot.kde.org/997748764/" target="_blank"><!--auto-->http://dot.kde.org/997748764/</a><!--auto-->
Re: Ne harte Nuss für Linux-Profis ...
@Michael
da kann ich nur Bastille Linux empfehlen.Das kan man so konfigurieren,das der User nichts darf.
http://www.bastille-linux.org/
Habe mich selber schon mal ausgesperrt. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
gruss pg
da kann ich nur Bastille Linux empfehlen.Das kan man so konfigurieren,das der User nichts darf.
http://www.bastille-linux.org/
Habe mich selber schon mal ausgesperrt. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
gruss pg
Re: Ne harte Nuss für Linux-Profis ...
Hallo Michael
Klingt nach InternetCafe, ich kann Dir da nur beschränkt helfen, da dies sonst den Rahmen des Forums sprengen würde. Aber Antworten aller Deiner Fragen findest Du eher im Embedded-Bereich oder Diskless-Bereich. SuSE hat dafür jede Menge HOWTOS auf seiner Distribution. Spezielle Fragen versuche ich dann zu beantworten.
mfG vost
Klingt nach InternetCafe, ich kann Dir da nur beschränkt helfen, da dies sonst den Rahmen des Forums sprengen würde. Aber Antworten aller Deiner Fragen findest Du eher im Embedded-Bereich oder Diskless-Bereich. SuSE hat dafür jede Menge HOWTOS auf seiner Distribution. Spezielle Fragen versuche ich dann zu beantworten.
mfG vost
Re: Ne harte Nuss für Linux-Profis ...
Wir wär's denn mit DisklessClients, dh. festplattenlose PCs. Genauere Infos findest du unter www.ltsp.org (LinuxTerminalServerProject) oder eine fertige Installation unter:
http://www.n-hilden.de/elektronisches-k ... diary.html
Einfach zu installieren, fast wartungsfrei und kaum kaputtbar.
Gruß ek
http://www.n-hilden.de/elektronisches-k ... diary.html
Einfach zu installieren, fast wartungsfrei und kaum kaputtbar.
Gruß ek
Re: Ne harte Nuss für Linux-Profis ...
Eine mögliche Lösund wäre die, Einen Kernel zu generieren, der ein kleines ca. 32MB großes Fileimage als Rootfilesystem in eine Ramdisk läd und von dort aus weiter bootet, X hoch fährt und statt dem Login geht der Browser auf und sonst erst mal nichts , oder überhaupt nur mal X ohne Login und eine oder mehre Applikationen werden erst nach einer bestimmten Aktion gestartet bzw. geöffnet (jetzt hat nimand eine Möglichkeit etwas anderes zu starten). Verzeichnisse wie zB. /var /tmp vielleicht auch /usr und natürlich das Swapdevice liegen reell auf der Platte
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.
na wäre das ein Konzept nach Deinen Vortellungen?
mfG vost
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.
na wäre das ein Konzept nach Deinen Vortellungen?
mfG vost
Re: Ne harte Nuss für Linux-Profis ...
Ich wollte die vorige Meldung nochmal erweitern klappte aber nicht, also nochmal etwas genauer.
Eine mögliche Lösund wäre die, Einen Kernel zu generieren, der ein kleines ca. 32MB großes Fileimage als Rootfilesystem in eine Ramdisk läd und von dort aus weiter bootet, X hoch fährt und statt dem Login geht der Browser auf und sonst erst mal nichts (jetzt hat nimand eine Möglichkeit etwas anderes zu starten). Verzeichnisse wie zB. /var /tmp vielleicht auch /usr und natürlich das Swapdevice liegen reell auf der Platte
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.
Das FileImage ist natürlich eine Sicheitsmaßname, damit spätere Schäden an der Platte nicht so tragisch sind, und in einer Ramdisk kann ein Hacker ruhig mal was kaputt machen, beim nächsten booten ists wieder vergessen. Wenn dir das nicht so wichtig ist kannst auch ganz normal von der Platte booten. Netzwerkinitialisierungen werden ganz normal von den Initscripten erledigt. Von dort aus startest du auch ein Shellscript daß, widerum X ohne Windowmanager, sondern eben nur einen Browser startet bsp.:
su -c /sbin/xstart <-- so heist das bsp unten
Script-bsp:
#!/bin/sh
/usr/X11R6/bin/X -s 0 &
export DISPLAY=:0.0
su guest <-- den mußt du natürlich erst mal einrichten
/opt/bin/netscape
die Verzeichnisse die den User guest nichts angehen müssen die dementsprechenden Rechte besitzen. (alle /bin und /sbin und wo sonst noch ausfürbare Files liegen außer /opt/bin)
Downloads sind für User sowiso uninteressant da er sie eh nicht mitnehmen kann (Floppy fehlt und Schnittstellen gehören verschlossen)
Das wars eigendlich
mfG vost
Eine mögliche Lösund wäre die, Einen Kernel zu generieren, der ein kleines ca. 32MB großes Fileimage als Rootfilesystem in eine Ramdisk läd und von dort aus weiter bootet, X hoch fährt und statt dem Login geht der Browser auf und sonst erst mal nichts (jetzt hat nimand eine Möglichkeit etwas anderes zu starten). Verzeichnisse wie zB. /var /tmp vielleicht auch /usr und natürlich das Swapdevice liegen reell auf der Platte
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.
Das FileImage ist natürlich eine Sicheitsmaßname, damit spätere Schäden an der Platte nicht so tragisch sind, und in einer Ramdisk kann ein Hacker ruhig mal was kaputt machen, beim nächsten booten ists wieder vergessen. Wenn dir das nicht so wichtig ist kannst auch ganz normal von der Platte booten. Netzwerkinitialisierungen werden ganz normal von den Initscripten erledigt. Von dort aus startest du auch ein Shellscript daß, widerum X ohne Windowmanager, sondern eben nur einen Browser startet bsp.:
su -c /sbin/xstart <-- so heist das bsp unten
Script-bsp:
#!/bin/sh
/usr/X11R6/bin/X -s 0 &
export DISPLAY=:0.0
su guest <-- den mußt du natürlich erst mal einrichten
/opt/bin/netscape
die Verzeichnisse die den User guest nichts angehen müssen die dementsprechenden Rechte besitzen. (alle /bin und /sbin und wo sonst noch ausfürbare Files liegen außer /opt/bin)
Downloads sind für User sowiso uninteressant da er sie eh nicht mitnehmen kann (Floppy fehlt und Schnittstellen gehören verschlossen)
Das wars eigendlich
mfG vost
Re: Ne harte Nuss für Linux-Profis ...
(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen
Und.....wo bleibt die Kohle? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">aber bitte in Euro.
Und.....wo bleibt die Kohle? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">aber bitte in Euro.
Re: Ne harte Nuss für Linux-Profis ...
Na gut, nachdem jetzt schon hartnäckig nach der Kohle nachgefragt wird (pg <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> :
--------------------------------------------------------------------------------
Wir sind jetzt soweit, dass wir unser schönes Notebook (Dell Inspiron PII-300, 15"TFT, topzust. Restwert ca. 600€) als Prämie aussetzen für den ersten, der uns so ein System exemplarisch aufsetzt und dokumentiert. Für jemand der sehr fit ist und das an einem Abend hinbekommt ist das vielleicht kein schlechter Deal, ich würde mind. 2 Wochen brauchen...
--------------------------------------------------------------------------------
Wir sind jetzt soweit, dass wir unser schönes Notebook (Dell Inspiron PII-300, 15"TFT, topzust. Restwert ca. 600€) als Prämie aussetzen für den ersten, der uns so ein System exemplarisch aufsetzt und dokumentiert. Für jemand der sehr fit ist und das an einem Abend hinbekommt ist das vielleicht kein schlechter Deal, ich würde mind. 2 Wochen brauchen...
Re: Ne harte Nuss für Linux-Profis ...
nettes Angebot, aber es würde sich auch für mich nicht lohnen.
Alleine eine ordentliche Doku braucht ne Woche.
Wenn sowas jemand in der Schublade liegen hat, wäre es leichtverdient aber von Null an...
Hast du dir schon mal Knoppix angeguckt?
Rennt, wie gesagt ohne HD nur im RAM. Bootet direkt KDE hoch.
Und Anpassungen sollten Möglich sein.
Einfach Nachts per Schaltuhr einmal die Kiste neustarten und Gut ist.
Gruss
Max
Alleine eine ordentliche Doku braucht ne Woche.
Wenn sowas jemand in der Schublade liegen hat, wäre es leichtverdient aber von Null an...
Hast du dir schon mal Knoppix angeguckt?
Rennt, wie gesagt ohne HD nur im RAM. Bootet direkt KDE hoch.
Und Anpassungen sollten Möglich sein.
Einfach Nachts per Schaltuhr einmal die Kiste neustarten und Gut ist.
Gruss
Max
Re: Ne harte Nuss für Linux-Profis ...
Hallo
OK. Einen Laptop hab ich immer schon gewünsch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ich spiel hier gerne mit allerdings nur hier im Board.
Ich habe keine Konzepte in der Schublade parat, aber ich weiß wo ich zu suchen habe <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Ich werde mitels VMware (einem virtuellen PC) SuSE-Linux-6.4 aufsetzen (Version kann sich ändern) und danach so umconfigurieren daß, dieser nach dem Booten nur einen Browser im Grafikmodus bereitstellt, und ein lokales Terminal im Textmode mit Login für administrative Zwecke. (letzteres kann später weggelassen werden)
Ein Fernupdate wird hier nicht berücksichtigt. (muß noch konzeptioniert werden)
Das System liegt in einem lokalen Netz, daß über einen Router einen Internetzugang besitzt. Um auf Namesever zu verzichten, bekommt das System über einen dhcp-Server eine fixe IP-Addr. (dadurch bleibt die Netzwerkinformation zentral auf einem Server, und man braucht disbezüglich nur eine Setup-Distribution)
Das Booten von RamDisk lasse ich auch mal weg, das läßt sich später mit ein paar Handgriffen ädern.
Ich werde versuchen die Installation hier im Board nachvollziebar mitzukomentieren. Das sollte als Doku reichen.
Also Michael, wenn Du damit einverstanden bist, dann erwarte ich jetzt ein "LosGehts" oder "auf die Plätze vertig los"
ansonstent mußt Du jetzt die Regeln genau definieren um möglichen Konflikten aus dem Weg zu gehen.
mfG vost
PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten möchte <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch FreeBSD
OK. Einen Laptop hab ich immer schon gewünsch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ich spiel hier gerne mit allerdings nur hier im Board.
Ich habe keine Konzepte in der Schublade parat, aber ich weiß wo ich zu suchen habe <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Ich werde mitels VMware (einem virtuellen PC) SuSE-Linux-6.4 aufsetzen (Version kann sich ändern) und danach so umconfigurieren daß, dieser nach dem Booten nur einen Browser im Grafikmodus bereitstellt, und ein lokales Terminal im Textmode mit Login für administrative Zwecke. (letzteres kann später weggelassen werden)
Ein Fernupdate wird hier nicht berücksichtigt. (muß noch konzeptioniert werden)
Das System liegt in einem lokalen Netz, daß über einen Router einen Internetzugang besitzt. Um auf Namesever zu verzichten, bekommt das System über einen dhcp-Server eine fixe IP-Addr. (dadurch bleibt die Netzwerkinformation zentral auf einem Server, und man braucht disbezüglich nur eine Setup-Distribution)
Das Booten von RamDisk lasse ich auch mal weg, das läßt sich später mit ein paar Handgriffen ädern.
Ich werde versuchen die Installation hier im Board nachvollziebar mitzukomentieren. Das sollte als Doku reichen.
Also Michael, wenn Du damit einverstanden bist, dann erwarte ich jetzt ein "LosGehts" oder "auf die Plätze vertig los"
ansonstent mußt Du jetzt die Regeln genau definieren um möglichen Konflikten aus dem Weg zu gehen.
mfG vost
PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten möchte <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch FreeBSD
Re: Ne harte Nuss für Linux-Profis ...
@Volker
>PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten >möchte ) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch >FreeBSD
Knoppix <a href="http://www.knoppix.org" target="_blank"><!--autohttp-->http://www.knoppix.org</a><!--autohttp--> basiert auf Debian. Komplett im RAM. KDE 3 + OpenOffice; Root PW ist deaktiviert.
Evt. vorhandene swap Partitionen werden mit eingebunden (schneller). Ein Reboot und alles ist beim Alten.
D.H. Kist läuft hoch. Hardware wird erkannt und eingerichtet. User bekommt ein KDE mit nutzbaren Browser.
Man kann auch die CD komplett auf eine Platte packen, Rechte anpassen und dann davon booten.
So könnte man Änderungen vornehmen. (OO deinstallieren oder ein paar Buttons löschen, Root PW vergeben. HD einfach nur ro mounten und schon kann kein User mehr Änderungen vornehmen.
So würde ich das machen.
Bekomme ich jetzt das Laptop?
Gruss Max
>PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten >möchte ) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch >FreeBSD
Knoppix <a href="http://www.knoppix.org" target="_blank"><!--autohttp-->http://www.knoppix.org</a><!--autohttp--> basiert auf Debian. Komplett im RAM. KDE 3 + OpenOffice; Root PW ist deaktiviert.
Evt. vorhandene swap Partitionen werden mit eingebunden (schneller). Ein Reboot und alles ist beim Alten.
D.H. Kist läuft hoch. Hardware wird erkannt und eingerichtet. User bekommt ein KDE mit nutzbaren Browser.
Man kann auch die CD komplett auf eine Platte packen, Rechte anpassen und dann davon booten.
So könnte man Änderungen vornehmen. (OO deinstallieren oder ein paar Buttons löschen, Root PW vergeben. HD einfach nur ro mounten und schon kann kein User mehr Änderungen vornehmen.
So würde ich das machen.
Bekomme ich jetzt das Laptop?
Gruss Max