---

Hejsa.
Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at installere Linux Red Hat på vores publikums Maskiner. Problemet er så at de skal lukkes så grundigt af at det kun er muligt at bruge en browser og absolut intet andet.
Det er lidt af en sport for unge knægte her på stedet at forsøge at sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet internet security pro og windows policy editor til at begrænse adgangen. Findes der noget tilsvarende til Linux eller er der andre muligheder der kan anbefales?

Med venlig hilsen
Brian Borst Hansen

---

Hmm, du kan vel bare give dem begrænset adgang, det ville være lidt grimt at give dem root, du kan også i /etc/passwd specifere hvor meget adgang folk skal have, der kan en superbruger altså root have det der hedder 0:0 hvis jeg husker ret.

\\ZIKE

---

Det skal ligeledes forhindres at de downloader fra internettet eller installerer småprogrammer af mindre lødig karakter. De må heller ikke kunne ændre på startsiden og lign. De må surfe og absolut ikke andet.

---

<i>Det skal ligeledes forhindres at de downloader fra internettet</i>

Hvad med PDF-filer? Må de heller ikke downloade dem?

---

De må absolut intet andet end at surfe på internettet. Højre musetast skal også deaktiveres (kan ordnes fysisk).

---

Hej Brian,

hvilken version af Windows bruger i på biblioteket?

undskyld jeg ved godt det ikke lige har noget med Linux at gøre, men det ka' la' sige gøre med visse Windows Versioner det du ønsker...

mvh.

Strarup

---

Vi bruger PT NT 4.0, og det kører egentligt udmærket, men nu skal vi have flere maskiner op at køre og min chef har hørt om Linux der er gratis. Og er det noget chefer i det offentlige kan lide så er det gratis ting.*GG*

---

Hej Brian,

LOL... oki doki...

tja... det ka' jeg jo godt se så... men derfor ka' det nu godt komme til at koste alligevel... idet det jo godt ka' være softwaren, operativsystemet m.v. er gratis... men det er den tid der jo ska' puttes i det jo ikke...

nu kender jeg desværre ikke så meget til Linux endnu, er noget grøn bag ørene når det gælder pingvinen...

men med det lille kendskab jeg har til Linux, er det også muligt at gøre det du ønsker... (men nok noget nemmere i Windows)...

men jeg har kigget lidt rundt på nettet, og fundet lidt hist og pist der måske ka' bruges, (ta' højde for at jeg har brugt min baggrundsviden fra windows, som jeg har prøvet at relatere til Linux)... så hvor vidt det ka' bruges ved jeg ikke... en del af materialet er på engelsk... men muligvis din Chef også sku' kigge lidt på det før han overvejer om det nu også er sådan en go' ide...

der er bl.a. denne her bog... "Linux - Friheden til sikkerhed på internettet"... -->
http://www.sslug.dk/linuxbog/sikkerhed/bog/index.html
nu har jeg ikke fået den kigget ordenligt igennem, men der lidt omkring "Root" i "Kapitel 3. Root access - hvem, hvordan og hvorfor ikke?"... -->
http://www.sslug.dk/linuxbog/sikkerhed/bog/root-access.html
men alt i alt uden at ha' kukkeluret det hele igennem, ser der ikke ud til lige at være noget omkring begrænse brugernes muligheder i forbindelse med brugen af programmer...

"Linux Administrator's Security Guide"... -->
https://www.seifried.org/lasg/
som bl.a. har dette afsnit... "Limiting and monitoring users"... -->
https://www.seifried.org/lasg/users/
den nævner bl.a. noget om PAM (Pluggable Authentication Modules)...
lidt om PAM i denne artikel... "What the Heck is PAM anyhow?"... -->
http://news.tucows.com/ext2/99/08/security/081999-security1.shtml
samt mere her... "The Linux-PAM System Administrators' Guide"... -->
http://www.dk.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html

der er også noget i dette afsnit... "Filesystem security"... -->
https://www.seifried.org/lasg/filesystem/
der bl.a. nævner "Access control lists (ACL’s)"...

"Implementing Access Control Lists using Linux"... -->
http://www.linuxsecurity.com/articles/server_security_article-501.html
"Extended attributes and access control lists"... -->
http://acl.bestbits.at/ (bl.a. http://acl.bestbits.at/about-acl.html)
"Permissions and Access Control Lists"... -->
http://sitereview.org/?article=104

"Filrettigheder i Linux"... -->
http://www.linuxplanet.dk/article/articleview/35/1/46/

The Linux Cookbook: Tips and Techniques for Everyday Use... Part 2: Files... Kap. 7 Sharing Files... -->
http://www.tldp.org/LDP/linuxcookbook/html/cookbook_9.html#SEC124
The Linux System Administrator's Guide... Chapter 11. Managing user accounts... -->
http://www.tldp.org/LDP/sag/c2318.html
Linux terminal-kommandoer... -->
http://www.id.cbs.dk/~mtk/linux/tutT.html

andet mht. sikkerhed...

"Design the best security topology for your firewall"... -->
http://www.zdnet.co.uk/news/specials/2000/10/enterprise/techrepublic/2002/10/article002.html
Linux Network Administrators Guide... -->
http://www.tldp.org/LDP/nag2/index.html
The Linux Danish/International HOWTO... -->
http://www.linuxboxen.dk/redhat/howto/Danish-HOWTO.html

lidt andet læsning til Linux er denne Bog fra GnuSkolen... -->
http://www.gnuskole.dk/bog/
Guides af forskellig art... -->
http://www.tldp.org/guides.html
HowTo's... -->
http://www.linuxboxen.dk/redhat/howto.html

og hvis i sku' vælge Linux, ka' jeg foreslå dette program... "WebAdmin"... -->
http://www.webmin.com/
med dette program ka' du konfigure Linux maskinerne hvorsomhelst mere eller mindre... også derhjemme fra hvis det er blevet sat op... det kræver kun en browser og programmet er installeret... du ka' vha. af WebAdmin også konfigurer en Linux maskine, fra en Windows maskine...
"System Administration With Webmin"... -->
http://www.swelltech.com/support/webminguide/

programmet "SuDo" (superuser do)... -->
http://www.courtesan.com/sudo/
er også noget der sku' gøre det du ønsker mht. bruger tilladelser osv.
begge programmer er bl.a. nævnt på denne side "Administrative tools"... -->
https://www.seifried.org/lasg/administration/

jeg håber det ka' bruges og ikke var for rodet... men dette er kun et bette hjørne af den store Linux verden der fundet frem...

mvh.

Strarup

---

Hej Starup!

Med alla de links bliver jeg nødt til at lukke spørgsmålet foreløbigt. Heldigvis er vi et bibliotek så jeg kan da bestille bøgerne i analog form. Ellers ville det nok give firkantede øjne.
Tak for hjælpen.

Mvh.
Brian Borst Hansen

---

                        

---

Borsthansen wrote:

> Hejsa.
> Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at
> installere Linux Red Hat på vores publikums Maskiner. Problemet er så at
> de skal lukkes så grundigt af at det kun er muligt at bruge en browser
> og absolut intet andet.
> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

Sæt BIOS-adgangkode på.

Giv ikke mulighed for at boote på cdromdrev eller diskette drev.

Hav et langt og kryptisk root adgangskode á la KJL&98%#lad!-f7:+164

Opret en almindelig bruger og giv brugeren sin egen partition.

Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Der er sikker andre som har flere idéer.

De herligste hilsner
--
| Claus Sørensen | Jeg vil leve i en verden, hvor al kommunikation
|--------------------| er baseret på frie og åbne standarder, så enhver
| cs@chbs.dk | har friheden til at vælge.
| http://www.chbs.dk | Claus Sørensen, 2001

---

Borsthansen <Borsthansen.news@kandu.dk> wrote:

> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

http://freshmeat.net/search/?q=kiosk§ion=projects

--
Allan Joergensen aka alj on eu.freenode.net

"Colonel North, we'd like our shredders back." - Hillary Clinton

---

Claus Sørensen wrote:

> Borsthansen wrote:
>
>> Hejsa.
>> Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at
>> installere Linux Red Hat på vores publikums Maskiner. Problemet er
>> så at de skal lukkes så grundigt af at det kun er muligt at bruge
>> en browser og absolut intet andet.
>> Det er lidt af en sport for unge knægte her på stedet at forsøge at
>> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg
>> programmet internet security pro og windows policy editor til at
>> begrænse adgangen. Findes der noget tilsvarende til Linux eller er
>> der andre muligheder der kan anbefales?
>
> Sæt BIOS-adgangkode på.
>
> Giv ikke mulighed for at boote på cdromdrev eller diskette drev.
>
> Hav et langt og kryptisk root adgangskode á la KJL&98%#lad!-f7:+164
>
> Opret en almindelig bruger og giv brugeren sin egen partition.

Nej ikke en almindelig bruger en bruger uden andgang til at eksekvere
nogen form for shell eller de generelle unix værktøjer.
Det kan feks selmpel gøres ved ikka at lade andre en root og gruppen
af polidelige brugere(der er tom) have hverken læse/skrive eller
eksekver adgang til noget som helst uden for /usr/local/mozilla gør
lav qouta på brugerens home dir således at den er for lille til at
indeholde andet en cachen og conf filerne.
Lad conf filerne værer ejet af en anden bruger og sæt filretighederne
på dem således at brugeren ikke kan rette på dem.
lav evt et cronjob der rydder homedir for cache og deslige jævnligt.
Dette vil gøre det meget svært at komme bagom og ind til et sted der
kan gøres skade fra.

Jeg kan lige i øjeblikket ikke komme på andre fejlkilder i mit setop
end at der kan smugles programmer ind i brugerens home dir men med
max 5mb og inegen adgang til chmod kan jeg ikke se dem lave noget
farligt.
Måske man kune forstille sig man via mozilla for overskrevet
conffilerne dette kan så afhjælpes ved at læse dem fra et rom medium
eller ved e crondjob der overskriver alt jævnligt.

> Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Vil i princippet ikke udelukke at brugeren kalder programmer op via
mozillas åbn fil menu beder man den åbne en fil den ikke lige kan
vise så spørger den om hvilket program den skal vises i her vælger
man xterm og vupti.

--
Daniel Udsen
Whoever dies with the most toys wins.

---

Borsthansen wrote:
> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

Jeg ved ikke om man kan kalde det "tilsvarende", men den slags
sikkerhedsmuligheder er indbygget i UNIX-systemer.

Du opretter en særskilt bruger til hver "knægt", slår alt andet end
X-windows interfacet fra. D.v.s. fjerner alle virtuelle konsoller i
/etc/inittab og sikrer dig et KDM/GDM/XDM respawner hvis X-serveren
crasher eller exit'es.

Du kan så fjerne eksekverings-rettigheder til alt der er nødvendigt at
have installeret, men som de ikke må køre. I ydderste konsekvens kan du
sørge for at der etableres et "jail" med chroot(1).

Alt hvad du skal bruge ligger i RedHat. Det er kun et spørgsmål om
opsætning.

Peter

---

Claus Sørensen wrote:
> Opret en almindelig bruger og giv brugeren sin egen partition.

Partition? Du mener hjemme-katalog?

> Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Du mener uden nogen Window-manager? En udemærket idé hvis man kan skal
bruge en browser og hvis ens browser understøtter "tabbed browsing" som
Mozilla. Ellers vil det nok besværliggøre brugen en smule.

Peter

---

Peter Mogensen wrote:

> Claus Sørensen wrote:
>> Opret en almindelig bruger og giv brugeren sin egen partition.
>
> Partition? Du mener hjemme-katalog?

Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
tildelte plads (samt 2% til root).

/dev/hda8 /home/bruger ext2 default 0 0

De herligste hilsner
--
| Claus Sørensen | Jeg vil leve i en verden, hvor al kommunikation
|--------------------| er baseret på frie og åbne standarder, så enhver
| cs@chbs.dk | har friheden til at vælge.
| http://www.chbs.dk | Claus Sørensen, 2001

---

Allan Joergensen wrote:
> Borsthansen <Borsthansen.news@kandu.dk> wrote:
>
>
>>Det er lidt af en sport for unge knægte her på stedet at forsøge at
>>sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
>>internet security pro og windows policy editor til at begrænse adgangen.
>>Findes der noget tilsvarende til Linux eller er der andre muligheder der
>>kan anbefales?
>
>
> http://freshmeat.net/search/?q=kiosk§ion=projects

Jo, man burde sætte sig ned og lave en kiosk-distro til Brian og andre
med samme behov...

Hvis man skulle få tid:

Hvad skal der til?

Det lader til at der allerede findes en Mozilla i kiosk-tun, så vi
mangler vel bare at få skruet en distro med den rigtige hwsupport sammen.

Ideer, anyone?


--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

Claus Sørensen wrote:

> Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
> tildelte plads (samt 2% til root).
>
> /dev/hda8 /home/bruger ext2 default 0 0


Lige lovligt drastisk. Specielt ved flere brugere end en normal
partition-table kan indeholde :)

Man kan selvføgelig mounte en fil med loop-back via interfacet til hver
bruges hjemmekatalog, men personligt ville jeg nok foretrække
quota-systemet.

Peter

---

Peter Mogensen wrote:


>> Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
>> tildelte plads (samt 2% til root).
>>
>> /dev/hda8 /home/bruger ext2 default 0 0
>
>
> Lige lovligt drastisk. Specielt ved flere brugere end en normal
> partition-table kan indeholde :)

Var der ikke tale om et bibliotek? Her er der vel næppe brug for mere end en
enkelt konto (samt evt. til systemadministratorerne)...

Her giver det IMHO ganske god mening at have en separat partiton til
brugeren - evt. kunne denne partition ryddes og gendannes fra en
master-kopi ved login...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
ATA100 is another testimony to the fact that pigs can be
made to fly given sufficient thrust (to borrow an RFC)
-Alan Cox
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> Var der ikke tale om et bibliotek? Her er der vel næppe brug for mere end en
> enkelt konto (samt evt. til systemadministratorerne)...
>
> Her giver det IMHO ganske god mening at have en separat partiton til
> brugeren - evt. kunne denne partition ryddes og gendannes fra en
> master-kopi ved login...


Jo, det har du ret i. :)

Peter

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.