Netzmaat_007
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Hallo allerseits,
damit meine Aufzeichnungen nicht einfach nur hier verstauben habe ich es mal gewagt diese auf eine Wikiseite zu bringen. Für mich haben die Aufzeichnungen gereicht um z.B. Firefox oder E-Mail immer unter einem separaten Benutzer laufen zu lassen. Vielleicht mag der ein oder andere das ja mal versuchen und ggf. ergänzen. Fragen dazu beantworte ich gerne, sofern es mir möglich ist.
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Hallo, interessante Vorgehensweise. Auf den Gedanken bin ich noch nicht gekommen. Allerdings entspricht der Artikel nicht der Wiki/Syntax. Guck Dir doch einmal die Artikel Wiki/Referenz und Vorlage/Schnellstart an, dort sind die meisten Syntaxelemente schon drin. Füge bitte auch noch ein paar mehr Überschriften anstatt der nummerierten Liste ein. Zum Inhalt: Der Teil mit dem Starten der Programme sollte sich an sudo#Programme-im-Kontext-anderer-Benutzer-ausfuehren halten, bzw einfach darauf verweisen. Das was im Artikel Baustelle/Programme abschotten steht ist teilweise falsch bzw zu viel des Guten. Gruß kaputtnik
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Hallo kaputtnik, könntest Du bitte etwas genauer sagen was Du mit falsch bzw. zuviel meintest? Ich erinnere mich das kdesu/kdesudo (symlinks) so wie sie installiert wurden (ohne die kdesurc Einstellung) in Wirklichkeit nicht ordentlich sudo verwendet hat, die NOPASSWD Optionen in /etc/sudoers sind nötig um nicht beim Browserstart im Unteraccount nach dem Passwort gefragt zu werden. Mit gksu (ist auf sudo gepatched) funktioniert die -u Option überhaupt nicht, nur mit -w (su) geht's. Ich nehme an diese ganzen jahrelang gemeldeten Bugs sind der Grund warum kaum jemand so eine einfache Sache wie den Browser unter anderem User laufen zu lassen mit *buntu hinbekommt und die Idee verworfen wird. Was ich nicht mehr so genau weiß ist ob der Workaround über su ein Terminal aufrufen zu müssen und darin ein Startskript (bash) zum starten des gewünschten Programms auszuführen (noch) nötig ist. Ich habe von Kubuntu/KDE Bugs und Performance die Nase voll gehabt und KDE4 naja, mich also mit Gnome arrangiert.
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Ok, habe die Hinweise soweit mir möglich eingearbeitet. Artikel ist aus meiner Sicht fertig, ich kann jetzt keine Zeit mehr drauf verwenden, falls ich von den Formalien etwas übersehen habe kann es bitte jemand beim Einstellen des Artikels anpassen.
|
Heinrich_Schwietering
Wikiteam
Anmeldungsdatum: 12. November 2005
Beiträge: 11290
Wohnort: Bremen
|
Hi! Formal hab ich mal "nachgeschliffen", inhaltlich müsste jemand anders was dazu schreiben... 😉 so long hank
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Danke, könnte jemand die Seite von der Baustelle ins Wiki verschieben?
|
Heinrich_Schwietering
Wikiteam
Anmeldungsdatum: 12. November 2005
Beiträge: 11290
Wohnort: Bremen
|
Hi! Kannst du vielleicht noch erklären, was mit "sandbox -X" gemeint ist, im letzen Abschnitt? Sagt mir zumindest erst mal nichts... so long hank
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
OK, lautet jetzt:
Leider gibt es in Ubuntu noch kein Skript wie sandbox -X in Fedora, das eine abgeschottete Umgebung für graphische Programme zur Verfügung stellt.
|
Heinrich_Schwietering
Wikiteam
Anmeldungsdatum: 12. November 2005
Beiträge: 11290
Wohnort: Bremen
|
Hi! Fast vergessen: Wie ist das mit der getestet-Box? General? Und wenn du jetzt noch eine link zu deinem Sandbox-Skript einbaust, wärs richtig schön 😉 so long hank
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28954
Wohnort: WW
|
Hallo, der Punkt "Firewall Regeln" aufstellen gefällt mir nicht sooo gut... Kannst du die FW-Regel nicht für ufw erstellen? Das ist zumindest bei der Standardinstallation an Bord und man muss nicht extra firehol installieren Der Satz "Die Paktefilter/Firewall z.B. so einstellen, dass nur das otto-browser Unterkonto ins Netz kommt (und keine beliebigen anderen Programme/Skripte, die unter einem anderen Konto aufgeführt werden)," ist IMHO ein bisschen missverständlich, genau genommen das "ins Netz" kommen. In der FW-Regel gibst du ja "nur" Port 80 und 443 frei - also die HTTP Ports. Klar ist das zum Browsen in der Regel ausreichend, sollte dann aber auch so im Text gesagt werden. zumindest ein Verweis auf eine Seite, welche Ports / Protokolle für andere Nutzerkonten wie "otto-mail", "otto-irc" etc. freigegeben werden sollten wäre nicht schlecht
Gruß, noisefloor
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Hab den Firewall Abschnitt noch etwas umgeschrieben, ufw nutze ich nicht, kommt mMn nicht an firehol ran (das ist ziemlich genial und einzigartig). Wollte auf die /etc/services verweisen, aber die gibts wohl bei Ubuntu nicht, füge ruhig einen Link ein wenn Du einen kennst.
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Heinrich, ich habe kein eigenes sandbox -X Skript, das ist ein Feature das lt. Netz bei Fedora neu eingeführt wurde.
|
Heinrich_Schwietering
Wikiteam
Anmeldungsdatum: 12. November 2005
Beiträge: 11290
Wohnort: Bremen
|
Hi! Netzmaat 007 schrieb: Heinrich, ich habe kein eigenes sandbox -X Skript, das ist ein Feature das lt. Netz bei Fedora neu eingeführt wurde.
Nun ja, "lt. Netz" ist ja eine ziemlich vage Aussage, wenn man sich über das Skript informieren möchte... 😉 Wo genau findet der interessierte Benutzer etwas dazu? Das selbe gilt für xnest, zu VNC sollte es im Wiki auch was geben, das kannst du im Artikel entsprechend verlinken.. so ong hank
|
Netzmaat_007
(Themenstarter)
Anmeldungsdatum: 27. März 2010
Beiträge: 173
|
Habe einen evtl. brauchbaren Link gefunden.
|
Heinrich_Schwietering
Wikiteam
Anmeldungsdatum: 12. November 2005
Beiträge: 11290
Wohnort: Bremen
|
Hi! Sieht soweit ok aus, kann, wenn niemand mehr schreit, demnächst verschobem werden. so ong hank
|