---

Hejsa.
Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at
installere Linux Red Hat på vores publikums Maskiner. Problemet er så at
de skal lukkes så grundigt af at det kun er muligt at bruge en browser
og absolut intet andet.
Det er lidt af en sport for unge knægte her på stedet at forsøge at
sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
internet security pro og windows policy editor til at begrænse adgangen.
Findes der noget tilsvarende til Linux eller er der andre muligheder der
kan anbefales?

Med venlig hilsen
Brian Borst Hansen

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

Borsthansen wrote:

> Hejsa.
> Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at
> installere Linux Red Hat på vores publikums Maskiner. Problemet er så at
> de skal lukkes så grundigt af at det kun er muligt at bruge en browser
> og absolut intet andet.
> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

Sæt BIOS-adgangkode på.

Giv ikke mulighed for at boote på cdromdrev eller diskette drev.

Hav et langt og kryptisk root adgangskode á la KJL&98%#lad!-f7:+164

Opret en almindelig bruger og giv brugeren sin egen partition.

Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Der er sikker andre som har flere idéer.

De herligste hilsner
--
| Claus Sørensen | Jeg vil leve i en verden, hvor al kommunikation
|--------------------| er baseret på frie og åbne standarder, så enhver
| cs@chbs.dk | har friheden til at vælge.
| http://www.chbs.dk | Claus Sørensen, 2001

---

Claus Sørensen wrote:

> Borsthansen wrote:
>
>> Hejsa.
>> Jeg arbejder på et bibliotek og i den forbindelse overvejer jeg at
>> installere Linux Red Hat på vores publikums Maskiner. Problemet er
>> så at de skal lukkes så grundigt af at det kun er muligt at bruge
>> en browser og absolut intet andet.
>> Det er lidt af en sport for unge knægte her på stedet at forsøge at
>> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg
>> programmet internet security pro og windows policy editor til at
>> begrænse adgangen. Findes der noget tilsvarende til Linux eller er
>> der andre muligheder der kan anbefales?
>
> Sæt BIOS-adgangkode på.
>
> Giv ikke mulighed for at boote på cdromdrev eller diskette drev.
>
> Hav et langt og kryptisk root adgangskode á la KJL&98%#lad!-f7:+164
>
> Opret en almindelig bruger og giv brugeren sin egen partition.

Nej ikke en almindelig bruger en bruger uden andgang til at eksekvere
nogen form for shell eller de generelle unix værktøjer.
Det kan feks selmpel gøres ved ikka at lade andre en root og gruppen
af polidelige brugere(der er tom) have hverken læse/skrive eller
eksekver adgang til noget som helst uden for /usr/local/mozilla gør
lav qouta på brugerens home dir således at den er for lille til at
indeholde andet en cachen og conf filerne.
Lad conf filerne værer ejet af en anden bruger og sæt filretighederne
på dem således at brugeren ikke kan rette på dem.
lav evt et cronjob der rydder homedir for cache og deslige jævnligt.
Dette vil gøre det meget svært at komme bagom og ind til et sted der
kan gøres skade fra.

Jeg kan lige i øjeblikket ikke komme på andre fejlkilder i mit setop
end at der kan smugles programmer ind i brugerens home dir men med
max 5mb og inegen adgang til chmod kan jeg ikke se dem lave noget
farligt.
Måske man kune forstille sig man via mozilla for overskrevet
conffilerne dette kan så afhjælpes ved at læse dem fra et rom medium
eller ved e crondjob der overskriver alt jævnligt.

> Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Vil i princippet ikke udelukke at brugeren kalder programmer op via
mozillas åbn fil menu beder man den åbne en fil den ikke lige kan
vise så spørger den om hvilket program den skal vises i her vælger
man xterm og vupti.

--
Daniel Udsen
Whoever dies with the most toys wins.

---

Claus Sørensen wrote:
> Opret en almindelig bruger og giv brugeren sin egen partition.

Partition? Du mener hjemme-katalog?

> Kør browseren direkte i X (uden nogen anden brugegrænseflade).

Du mener uden nogen Window-manager? En udemærket idé hvis man kan skal
bruge en browser og hvis ens browser understøtter "tabbed browsing" som
Mozilla. Ellers vil det nok besværliggøre brugen en smule.

Peter

---

Peter Mogensen wrote:

> Claus Sørensen wrote:
>> Opret en almindelig bruger og giv brugeren sin egen partition.
>
> Partition? Du mener hjemme-katalog?

Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
tildelte plads (samt 2% til root).

/dev/hda8 /home/bruger ext2 default 0 0

De herligste hilsner
--
| Claus Sørensen | Jeg vil leve i en verden, hvor al kommunikation
|--------------------| er baseret på frie og åbne standarder, så enhver
| cs@chbs.dk | har friheden til at vælge.
| http://www.chbs.dk | Claus Sørensen, 2001

---

Claus Sørensen wrote:

> Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
> tildelte plads (samt 2% til root).
>
> /dev/hda8 /home/bruger ext2 default 0 0


Lige lovligt drastisk. Specielt ved flere brugere end en normal
partition-table kan indeholde :)

Man kan selvføgelig mounte en fil med loop-back via interfacet til hver
bruges hjemmekatalog, men personligt ville jeg nok foretrække
quota-systemet.

Peter

---

Peter Mogensen wrote:


>> Jeg mener partition. Så kan brugeren helt sikkert ikke vokse ud over den
>> tildelte plads (samt 2% til root).
>>
>> /dev/hda8 /home/bruger ext2 default 0 0
>
>
> Lige lovligt drastisk. Specielt ved flere brugere end en normal
> partition-table kan indeholde :)

Var der ikke tale om et bibliotek? Her er der vel næppe brug for mere end en
enkelt konto (samt evt. til systemadministratorerne)...

Her giver det IMHO ganske god mening at have en separat partiton til
brugeren - evt. kunne denne partition ryddes og gendannes fra en
master-kopi ved login...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
ATA100 is another testimony to the fact that pigs can be
made to fly given sufficient thrust (to borrow an RFC)
-Alan Cox
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> Var der ikke tale om et bibliotek? Her er der vel næppe brug for mere end en
> enkelt konto (samt evt. til systemadministratorerne)...
>
> Her giver det IMHO ganske god mening at have en separat partiton til
> brugeren - evt. kunne denne partition ryddes og gendannes fra en
> master-kopi ved login...


Jo, det har du ret i. :)

Peter

---

Borsthansen <Borsthansen.news@kandu.dk> wrote:

> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

http://freshmeat.net/search/?q=kiosk§ion=projects

--
Allan Joergensen aka alj on eu.freenode.net

"Colonel North, we'd like our shredders back." - Hillary Clinton

---

Allan Joergensen wrote:
> Borsthansen <Borsthansen.news@kandu.dk> wrote:
>
>
>>Det er lidt af en sport for unge knægte her på stedet at forsøge at
>>sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
>>internet security pro og windows policy editor til at begrænse adgangen.
>>Findes der noget tilsvarende til Linux eller er der andre muligheder der
>>kan anbefales?
>
>
> http://freshmeat.net/search/?q=kiosk§ion=projects

Jo, man burde sætte sig ned og lave en kiosk-distro til Brian og andre
med samme behov...

Hvis man skulle få tid:

Hvad skal der til?

Det lader til at der allerede findes en Mozilla i kiosk-tun, så vi
mangler vel bare at få skruet en distro med den rigtige hwsupport sammen.

Ideer, anyone?


--
Mvh. / Best regards,
Steen Suder      <http://www.suder.dk/>
ICQ UIN         4133803

---

Borsthansen wrote:
> Det er lidt af en sport for unge knægte her på stedet at forsøge at
> sabotere opsætningen på maskinerne og i øjeblikket bruger jeg programmet
> internet security pro og windows policy editor til at begrænse adgangen.
> Findes der noget tilsvarende til Linux eller er der andre muligheder der
> kan anbefales?

Jeg ved ikke om man kan kalde det "tilsvarende", men den slags
sikkerhedsmuligheder er indbygget i UNIX-systemer.

Du opretter en særskilt bruger til hver "knægt", slår alt andet end
X-windows interfacet fra. D.v.s. fjerner alle virtuelle konsoller i
/etc/inittab og sikrer dig et KDM/GDM/XDM respawner hvis X-serveren
crasher eller exit'es.

Du kan så fjerne eksekverings-rettigheder til alt der er nødvendigt at
have installeret, men som de ikke må køre. I ydderste konsekvens kan du
sørge for at der etableres et "jail" med chroot(1).

Alt hvad du skal bruge ligger i RedHat. Det er kun et spørgsmål om
opsætning.

Peter