Ne harte Nuss für Linux-Profis ...

Message
Author
Michael

Ne harte Nuss für Linux-Profis ...

#1 Post by Michael »

Ne Harte Nuss für Linux-Profis


hab folgendes Problem:

Ich muss für ein öffentlich zugängliches, unbeaufsichtigtes Surfterminal (Rechnergehäuse ist allerdings unter Verschluss) ein SICHERES(!) System installieren, am besten Linux. Der Rechner soll nach (neu)Start direkt einen (restriktiven) User auto-einloggen, eine graf. Oberfläche und einen Browser starten. Das surfen soll bis auf "Downloadverbot" (z.B. lokale Firewall für Binary-Content) möglich sein, ansonsten darf der User aber am System selbst nix machen. Selbst der Logout sollte am Besten kennwortgeschützt sein (für Admin-Login).

ok - ich erwarte hier natürlich keine Schritt-für-Schritt-Anleitung, aber vielleicht hat jemand das schonmal gemacht, kennt irgendwelche Quellen zum nachlesen oder meint, dass sei garnicht so schwierig. Für jeden Hinweis bin ich dankbar (bitte Mail an krutwig@gmx.de ).

Ciao
Michael

(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

klaus Schäfer

Re: Ne harte Nuss für Linux-Profis ...

#2 Post by klaus Schäfer »

Hi,
nimm doch einfach ein live-System, dass von CD bootet, da kann man nix ruinieren.
Und wo keine Platte drin ist, kann auch nix downgeloadet werden, oder die Platte im
Bios auf ro stellen. - ruhe ist.

Gruß Klaus

arno kuenburg

Re: Ne harte Nuss für Linux-Profis ...

#3 Post by arno kuenburg »

hi
wäre auch an einer lösung interessiert
aber nur userbezogen (leider keine livecd möglich)
sondern nur wen sich user xy einloggt das der dann nur surfen kann.
alle anderen aber normal arbeiten können.

mfg arno

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Ne harte Nuss für Linux-Profis ...

#4 Post by max »

Na ja, einfach die Platte auf ro ist nicht der bringer.
Es gibt zuviele daemons die Schreibzugriff brauchen.


Gucke dir mal Knoppix an!
Einfach viel RAM rein schnelles CD-Rom. Und fertig.
Die Gefahr das einer dir dein schönes Surf-Terminal zerschraddelt ist groß..

Ansonsten wäre eine Menge Änderungen nötig.
Gruss Max

mvo

Re: Ne harte Nuss fr Linux-Profis ...

#5 Post by mvo »

Hallo,
warum das Rad zum zweitenmal erfinden:
<a href="http://dot.kde.org/997748764/" target="_blank"><!--auto-->http://dot.kde.org/997748764/</a><!--auto-->

pg

Re: Ne harte Nuss für Linux-Profis ...

#6 Post by pg »

@Michael

da kann ich nur Bastille Linux empfehlen.Das kan man so konfigurieren,das der User nichts darf.

http://www.bastille-linux.org/

Habe mich selber schon mal ausgesperrt. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

gruss pg

vost

Re: Ne harte Nuss für Linux-Profis ...

#7 Post by vost »

Hallo Michael

Klingt nach InternetCafe, ich kann Dir da nur beschränkt helfen, da dies sonst den Rahmen des Forums sprengen würde. Aber Antworten aller Deiner Fragen findest Du eher im Embedded-Bereich oder Diskless-Bereich. SuSE hat dafür jede Menge HOWTOS auf seiner Distribution. Spezielle Fragen versuche ich dann zu beantworten.

mfG vost

ek

Re: Ne harte Nuss für Linux-Profis ...

#8 Post by ek »

Wir wär's denn mit DisklessClients, dh. festplattenlose PCs. Genauere Infos findest du unter www.ltsp.org (LinuxTerminalServerProject) oder eine fertige Installation unter:
http://www.n-hilden.de/elektronisches-k ... diary.html

Einfach zu installieren, fast wartungsfrei und kaum kaputtbar.

Gruß ek

vost
Posts: 48
Joined: 16. Aug 2002 10:58
Location: Reutte in Tirol

Re: Ne harte Nuss für Linux-Profis ...

#9 Post by vost »

Eine mögliche Lösund wäre die, Einen Kernel zu generieren, der ein kleines ca. 32MB großes Fileimage als Rootfilesystem in eine Ramdisk läd und von dort aus weiter bootet, X hoch fährt und statt dem Login geht der Browser auf und sonst erst mal nichts , oder überhaupt nur mal X ohne Login und eine oder mehre Applikationen werden erst nach einer bestimmten Aktion gestartet bzw. geöffnet (jetzt hat nimand eine Möglichkeit etwas anderes zu starten). Verzeichnisse wie zB. /var /tmp vielleicht auch /usr und natürlich das Swapdevice liegen reell auf der Platte
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.

na wäre das ein Konzept nach Deinen Vortellungen?
mfG vost

vost
Posts: 48
Joined: 16. Aug 2002 10:58
Location: Reutte in Tirol

Re: Ne harte Nuss für Linux-Profis ...

#10 Post by vost »

Ich wollte die vorige Meldung nochmal erweitern klappte aber nicht, also nochmal etwas genauer.

Eine mögliche Lösund wäre die, Einen Kernel zu generieren, der ein kleines ca. 32MB großes Fileimage als Rootfilesystem in eine Ramdisk läd und von dort aus weiter bootet, X hoch fährt und statt dem Login geht der Browser auf und sonst erst mal nichts (jetzt hat nimand eine Möglichkeit etwas anderes zu starten). Verzeichnisse wie zB. /var /tmp vielleicht auch /usr und natürlich das Swapdevice liegen reell auf der Platte
den Kernel mit dem angehängten FileImage kannst du von Platte, CD oder wenn es dein BIOS zulässt von einem Fash booten. USB-Sticks(max 1GB) bieten sich heutzutage auch an, den kannst Du nach dem booten wie einen Schlüssel abziehen und einstecken.
Das FileImage ist natürlich eine Sicheitsmaßname, damit spätere Schäden an der Platte nicht so tragisch sind, und in einer Ramdisk kann ein Hacker ruhig mal was kaputt machen, beim nächsten booten ists wieder vergessen. Wenn dir das nicht so wichtig ist kannst auch ganz normal von der Platte booten. Netzwerkinitialisierungen werden ganz normal von den Initscripten erledigt. Von dort aus startest du auch ein Shellscript daß, widerum X ohne Windowmanager, sondern eben nur einen Browser startet bsp.:

su -c /sbin/xstart <-- so heist das bsp unten

Script-bsp:

#!/bin/sh
/usr/X11R6/bin/X -s 0 &
export DISPLAY=:0.0
su guest <-- den mußt du natürlich erst mal einrichten
/opt/bin/netscape

die Verzeichnisse die den User guest nichts angehen müssen die dementsprechenden Rechte besitzen. (alle /bin und /sbin und wo sonst noch ausfürbare Files liegen außer /opt/bin)
Downloads sind für User sowiso uninteressant da er sie eh nicht mitnehmen kann (Floppy fehlt und Schnittstellen gehören verschlossen)

Das wars eigendlich
mfG vost

pg

Re: Ne harte Nuss für Linux-Profis ...

#11 Post by pg »

(wer fit ist und Lust hat diese Aufgabe zu lösen kann sich auch gerne ne Mark nebenbei verdienen


Und.....wo bleibt die Kohle? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">aber bitte in Euro.

fistro
Posts: 4
Joined: 15. Aug 2002 23:05

Re: Ne harte Nuss für Linux-Profis ...

#12 Post by fistro »

Na gut, nachdem jetzt schon hartnäckig nach der Kohle nachgefragt wird (pg <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> :
--------------------------------------------------------------------------------
Wir sind jetzt soweit, dass wir unser schönes Notebook (Dell Inspiron PII-300, 15"TFT, topzust. Restwert ca. 600€) als Prämie aussetzen für den ersten, der uns so ein System exemplarisch aufsetzt und dokumentiert. Für jemand der sehr fit ist und das an einem Abend hinbekommt ist das vielleicht kein schlechter Deal, ich würde mind. 2 Wochen brauchen...

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Ne harte Nuss für Linux-Profis ...

#13 Post by max »

nettes Angebot, aber es würde sich auch für mich nicht lohnen.
Alleine eine ordentliche Doku braucht ne Woche.
Wenn sowas jemand in der Schublade liegen hat, wäre es leichtverdient aber von Null an...

Hast du dir schon mal Knoppix angeguckt?
Rennt, wie gesagt ohne HD nur im RAM. Bootet direkt KDE hoch.
Und Anpassungen sollten Möglich sein.
Einfach Nachts per Schaltuhr einmal die Kiste neustarten und Gut ist.

Gruss
Max

vost
Posts: 48
Joined: 16. Aug 2002 10:58
Location: Reutte in Tirol

Re: Ne harte Nuss für Linux-Profis ...

#14 Post by vost »

Hallo

OK. Einen Laptop hab ich immer schon gewünsch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ich spiel hier gerne mit allerdings nur hier im Board.

Ich habe keine Konzepte in der Schublade parat, aber ich weiß wo ich zu suchen habe <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Ich werde mitels VMware (einem virtuellen PC) SuSE-Linux-6.4 aufsetzen (Version kann sich ändern) und danach so umconfigurieren daß, dieser nach dem Booten nur einen Browser im Grafikmodus bereitstellt, und ein lokales Terminal im Textmode mit Login für administrative Zwecke. (letzteres kann später weggelassen werden)
Ein Fernupdate wird hier nicht berücksichtigt. (muß noch konzeptioniert werden)
Das System liegt in einem lokalen Netz, daß über einen Router einen Internetzugang besitzt. Um auf Namesever zu verzichten, bekommt das System über einen dhcp-Server eine fixe IP-Addr. (dadurch bleibt die Netzwerkinformation zentral auf einem Server, und man braucht disbezüglich nur eine Setup-Distribution)
Das Booten von RamDisk lasse ich auch mal weg, das läßt sich später mit ein paar Handgriffen ädern.

Ich werde versuchen die Installation hier im Board nachvollziebar mitzukomentieren. Das sollte als Doku reichen.

Also Michael, wenn Du damit einverstanden bist, dann erwarte ich jetzt ein "LosGehts" oder "auf die Plätze vertig los"
ansonstent mußt Du jetzt die Regeln genau definieren um möglichen Konflikten aus dem Weg zu gehen.

mfG vost

PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten möchte <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch FreeBSD

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Ne harte Nuss für Linux-Profis ...

#15 Post by max »

@Volker
>PS.: von Betriebsystemen wie knoppix, qnx usw. würde ich erst mal Abstand nehmen, weil ich meine Gegner ausschalten >möchte ) , nein Spass bei seite, da die Zukunft dieser Betriebsysteme noch nicht so klar ist wie bei Linux, und auch >FreeBSD

Knoppix <a href="http://www.knoppix.org" target="_blank"><!--autohttp-->http://www.knoppix.org</a><!--autohttp--> basiert auf Debian. Komplett im RAM. KDE 3 + OpenOffice; Root PW ist deaktiviert.
Evt. vorhandene swap Partitionen werden mit eingebunden (schneller). Ein Reboot und alles ist beim Alten.
D.H. Kist läuft hoch. Hardware wird erkannt und eingerichtet. User bekommt ein KDE mit nutzbaren Browser.
Man kann auch die CD komplett auf eine Platte packen, Rechte anpassen und dann davon booten.
So könnte man Änderungen vornehmen. (OO deinstallieren oder ein paar Buttons löschen, Root PW vergeben. HD einfach nur ro mounten und schon kann kein User mehr Änderungen vornehmen.
So würde ich das machen.
Bekomme ich jetzt das Laptop?
Gruss Max

Post Reply