Öffentlicher PC. die II.

Florian Diesch diesch at spamfence.net
Sam Dez 13 15:37:38 GMT 2008 

Christian Meseberg <c.meseberg at thebat.net> wrote:

> Hallo zusammen,
>
> Florian Diesch meinte am Donnerstag, den 11.12.2008 um 22:17 Uhr
> wegen:Öffentlicher PC. die II. 
>
>>> Anwendungen nutzen können, und auch USB Schreiben/Lesen. Ob
>>> über NFS ein Homeverzeichnis bereit gestellt wird, ist noch offen.
>
>> Wenn es Benutzeraccounts gibt, ist es IMHO sinnvoll, auch
>> Einstellungen speichern zu können.
>
> ok, das wird noch überlegt. Linux soll hier ja auch näher gebracht
> werden. Also sollten bestimmte Dinge individuell anpassbar sein. Das
> setzt voraus, dass diese Einstellungen dauerhaft im /home/user/.kde
> gespeichert werden. In welchem Umfang auch Daten gespeichert werden
> können, entscheidet sich noch. Ich wäre dafür, selbst
> Gruppenverzeichnisse für gemeinsame Projekte zu erstellen.
>
>>> Ein Terminalfenster/Konsole für bash wird nicht zur Verfügung
>>> gestellt. 
>
>> Geht trotzdem davon aus, dass ein Anwender beliebige Shell-Befehle
>> ausführen kann. 
>
> dass soll für den normalen Leser unterbunden werden. Kann er
> Shell-Befehle ausführen, wenn die Rechte dazu entzogen wurden?
>
> Nein, falsch ;)
>
> Kann ich die Rechte entziehen, Shell-Befehle auszuführen?

Prinzipiell schon (Zugriff auf die Shell sperren), nur wird das System
damit unbrauchbar (keine Ahnung, ob KDE dann noch startet, Firefox und
OpenOffice gehen jedenfalls nicht, denn die werden über Shell-Skripte
gestartet).

Der Benutzer kann über Firefox außerdem beliebigen JavaScript-Code
(Erweiterungen) und über Gimp mindestens Scheme ausführen, und Zugriff
auf Python und vermutlich auch Perl musst du ihm auch lassen, weil die
für einige Programme gebraucht werden; evtl. kommen auch noch Tcl und
Ruby dazu.



> Außerdem gehe ich davon aus, dass die Programme, wozu ich hier die
> Shell mal dazu zähle, via LTSP für den Client bereit gestellt werden
> müssen.

Zumindest kleinere Programme kann sich der Benutzer auch selbst
schrieben oder sie irgendwo runterladen.


Es sollte eigentlich auch reichen, keinen direkten Internetzugriff zu
erlauben und evtl. in /etc/security/limits.conf ein paar
Einschränkungen zu definieren.



   Florian
-- 
<http://www.florian-diesch.de/>
-----------------------------------------------------------------------
**  Hi! I'm a signature virus! Copy me into your signature, please!  **
-----------------------------------------------------------------------