ubuntuusers.de

Hallo,

ich will in einem Projekt Ubuntu auf einen relativ öffentlich zugänglichen PC installieren, damit dort Besucher Firefox, LibreOffice, Scannersoftware etc. benutzen können. Es soll aber nicht möglich sein, ein Terminal oder eigene Programme zu starten. Gibt es sowas wie ein "whitelisting" für einen bestimmten Benutzer, dass er nur bestimmte Programme ausführen darf? Außerdem sollen im Benutzerprofil keine persönlichen Daten zurückbleiben, also alle Browserdaten, Downloads, Papierkörbe, sonstige temporäre Dateien etc. gelöscht bzw. gar nicht geschrieben werden. Wie wäre das möglich?

Viele Grüße Christian

Das ist anscheinend gar nicht so einfach. Du könntest dir einen Überblick verschaffen mit

Zugriff auf PC einschränken

Archiv/Kiosk (Ist vermutlich nicht ohne Grund vor 6 Jahren ins Archiv verschoben worden.)

https://de.wikipedia.org/wiki/Kiosk-Modus

ich will in einem Projekt Ubuntu auf einen relativ öffentlich zugänglichen PC installieren, damit dort Besucher Firefox, LibreOffice, Scannersoftware etc. benutzen können.Es soll aber nicht möglich sein, ein Terminal oder eigene Programme zu starten.

Wo soll denn der Benutzer mit Libreoffice erstellte Dateien oder eingescannte Dokumente etc. ablegen, wenn du die dauerhafte Abspeicherung (quasi den Zugriff auf sein Homeverzeichnis) unterbinden willst? Sind dann externe Datenträger erlaubt?

Außerdem sollen im Benutzerprofil keine persönlichen Daten zurückbleiben, also alle Browserdaten, Downloads, Papierkörbe, sonstige temporäre Dateien etc. gelöscht bzw. gar nicht geschrieben werden.

Entweder Schreibzugriff auf entsprechende Ordner entziehen oder in RAM-Disks umleiten.

Wie wäre das möglich?

Ich persönlich halte ein vorgefertigtes *buntu nicht unbedingt für eine geeignete Ausgangsbasis für so ein Ansinnen. Eher die Installation eines minimalen Grundsystems (bei Ubuntu ist das wohl die Serverinstallation?). Plus nur die für die angedachten Funktionen wirklich notwendigen Programme. Vielleicht ist auch so etwas wie die Netinstall-ISO von Debian eine besser Grundlage.

Metapakete würde ich aufgrund vieler nachgezogener Abhängigkeiten tunlichst vermeiden, Snap ebenso. Allererste Aktion im Grundsystem wäre die Anpasssung von /etc/apt/apt.conf, damit keine empfohlenen oder vorgeschlagenen Pakete auf der Platte landen.

APT::Install-Recommends 0;
APT::Install-Suggests 0;

Was dadurch fehlt und die ordnungsgemäße Funktion eines Programmes nach dessen Installation verhindert, muss man notfalls aus der Manifest-Datei einer "normalen" Desktop-ISO oder aus der Liste der Pakete eines normal installierten Vergleichs-PCs ermitteln.

Als Desktop vielleicht Unity probieren, das hat am ehesten das Look-and-feel eines Kiosk-Systems. Gibt es aber meines Wissens nur für Ubuntu.

Grunddevise: Was nicht vorhanden ist, kann nicht gestartet werden und muss auch nicht verboten werden. Alles nicht vermeidbare wenn möglich per Berechtigungsentzug zuknipsen.

Ein (angepasstes) Live-System als Basis wäre schwierig dauerhaft sicherheitstechnisch aktuell zu halten.

dingsbums schrieb:

Wo soll denn der Benutzer mit Libreoffice erstellte Dateien oder eingescannte Dokumente etc. ablegen, wenn du die dauerhafte Abspeicherung (quasi den Zugriff auf sein Homeverzeichnis) unterbinden willst? Sind dann externe Datenträger erlaubt?

Ideen bislang: Entweder temporär bis zum nächsten Reboot ins Home-Verzeichnis, das ich nach tmpfs mounte, oder auf einem Netzlaufwerk oder eben USB-Stick. Vermutlich ist Ubuntu wegen Snap etc. mittlerweile zu komplex dafür und Debian ist besser?

Vermutlich ist Ubuntu wegen Snap etc. mittlerweile zu komplex dafür und Debian ist besser?

Das wirst wohl nur du beantworten können, nachdem du es ausprobiert hast.

imho74 schrieb:

ich will in einem Projekt Ubuntu auf einen relativ öffentlich zugänglichen PC installieren, damit dort Besucher Firefox, LibreOffice, Scannersoftware etc. benutzen können. Es soll aber nicht möglich sein, ein Terminal oder eigene Programme zu starten. Gibt es sowas wie ein "whitelisting" für einen bestimmten Benutzer, dass er nur bestimmte Programme ausführen darf?

Da verstehe ich die Zielsetzung nicht. Was soll denn sonst noch mit dem Rechner gemacht werden?

Wenn ich auf einem öffentlichen Rechner gewisse Programme nicht anbieten möchte, würde ich diese deinstallieren. Ist bei einem Upgrade ggf. mehr Aufwand, wenn das Metapaket der Desktopumgebung mit deinstalliert wird, aber das ist die sicherste Methode. Alles andere fordert nur dazu auf, die Sperre zu umgehen.

Außerdem sollen im Benutzerprofil keine persönlichen Daten zurückbleiben, also alle Browserdaten, Downloads, Papierkörbe, sonstige temporäre Dateien etc. gelöscht bzw. gar nicht geschrieben werden. Wie wäre das möglich?

Dafür bietet sich die Gastsitzung von lightdm an, wobei dann unter GNOME nicht alles rund läuft; Das sollte einem Gast jedoch kaum auffallen.

Alternativ: Computer nach dem Neustart zurücksetzen

Hallo,

die Agentur für Arbeit bietet an vielen Standorten Arbeitsplätze, an den die Kunden recherchieren und Bewerbungen schreiben können. Dies sind Linux-basierte Arbeitsplätze, die genau diese Funktionalität

Besucher Firefox, LibreOffice, Scannersoftware etc. benutzen können.

[...]

keine persönlichen Daten zurückbleiben, also alle Browserdaten, Downloads, Papierkörbe, sonstige temporäre Dateien etc. gelöscht bzw. gar nicht geschrieben werden.

anbieten. Die persönlichen Daten werden gelöscht, sobald der Kunde sich abmeldet. Keine Ahnung, was für Lizenz die Software an diesen Arbeitsplätzen hat. Du kannst ja IT-Systemhaus der BA kontaktieren 😊.

gruss, pantomime

Hallo,

imho74 schrieb:

ich will in einem Projekt Ubuntu auf einen relativ öffentlich zugänglichen PC installieren, damit dort Besucher Firefox, LibreOffice, Scannersoftware etc. benutzen können.

Bist du mit deinem Projekt inzwischen weiter gekommen 😊 ❓

gruss, pantomime