ubuntuusers.de

Hallo zusammen,

ich arbeite als IT-Beauftragte für einen gemeinnützigen Verein und soll nun für unsere Klienten einen PC zu deren freien Verfügung einrichten. Dies möchte ich mit Ubuntu realisieren. Das entsprechende Benutzerkonto soll stark eingeschränkt sein. Wenn es nur um ein reines Kiosk-System zum Surfen ginge, würde ich vermutlich mit den zahlreichen Anleitungen im Netz klarkommen. "Leider" soll das Benutzerkonto noch ein paar mehr Dinge können, was mich dann doch ein wenig überfordert.

Die Anforderungen lauten:

• Im Internet surfen können

• Nichts downloaden können

• Keine Programme installieren dürfen

• USB-Sticks sollte man mounten können

• Sie sollen Briefe verfassen können

Ich würde den PC so einrichten, dass er sofort in den eingeschränkten Benutzer startet und am besten gleich Firefox startet. Das kriege ich noch hin (denke ich) 😉

Dann sollten auf dem eingeschränkten Benutzer an Programmen nur Firefox und LibreOffice funktionieren. Soweit ich bei meinen bisherigen Recherchen herausgefunden habe, mache ich das besser über AppArmor als über die Rechtevergabe, weil die Rechteeinstellungen eventuell nach jedem Systemupdate neu gesetzt werden müssen?

Mit den Punkten "Nichts downloaden können" und gleichzeitig "USB-Stick mounten können" bin ich etwas überfordert. Am Liebsten wäre mir, sie könnten gar nichts auf dem PC speichern, sondern nur auf ihrem USB-Stick. Würde ich das auch über Gruppen und Rechteverwaltung machen? Bestünde dann auch die Gefahr, dass die Rechte nach jedem Systemupdate wieder neu gesetzt werden müssen?

Ich bin von meinem Erfahrungslevel in der Lage nach Anleitung vorzugehen und den Terminal zu benutzen und verwende seit ca. 20 Jahren Ubuntu. Mit Rechteverwaltung, Benutzergruppen, Spezialeinstellungen in AppArmor usw. hatte ich bisher allerdings noch nie zu tun. Ich möchte einfach vermeiden irgendwelche dummen Fehler zu machen, die mich dann hintenraus viel Zeit kosten oder sogar nötig machen, dass ich das ganze System dreimal neu aufsetzen muss.

MfG Zerhonia

Ich bin mir nicht sicher, was du mit den einzelnen Anforderungen erreichen willst ☺

• Keine Programme installieren dürfen

Zielt das auf "nur die beabsichtigte Nutzung" oder "keine Veränderung des Systems" ab?

Installieren per Paketverwaltung kannst Du ja verhindern, aber das ausführen von user-Binaries aus dem user-verzeichnis kaum verhindern können, zumal wenn du USB-Sticks erlauben willst.

• nichts downloaden können

Wieder die Frage, was willst Du damit bezwecken? Technisch gesehen ist "Webbrowsen" auch der Download von Dateien auf einem Webserver um mit der lokalen Kopie die Website anzuzeigen.

Zerhonia schrieb:

[…] Die Anforderungen lauten:

• Im Internet surfen können

• Nichts downloaden können

• Keine Programme installieren dürfen

• USB-Sticks sollte man mounten können

• Sie sollen Briefe verfassen können

Fast alles ist bei einem Ubuntu-System bereits automatisch erfüllt. Schwierigkeit macht die Forderung:

• Nichts downloaden können

Wenn man dies abschwächen kann zu:

• Nichts dauerhaft downloaden können

dann wäre der Arbeitsplan:

1. Ubuntu normal installieren.

2. Nach dem Standardbenutzer (id=1000) einen weiteren Benutzer anlegen. Dieser erfüllt die Anforderungen bis auf die zweite.

3. Für diesen zusätzlichen Benutzer (id=1001) einen Startjob einrichten, der das Download-Verzeichnis löscht.

Aus diesem System kann der Benutzer noch ausbrechen, wenn er die Einstellungen für Firefox ändert. Möglicherweise gibt es eine Erweiterung für Firefox, um das zu blocken.

Du könntest den Nutzer auch einrichten wie du willst, und dann sein Home-Verzeichnis irgendowhin weg kopieren. Beim Ausloggen wird dann das Home-Verzeichnis wieder zurückgeschrieben. Dabei werden dann aber auch die Briefe überschrieben, diese sollten dann auf dem USB-Stick gesichert werden.

Ich glaube bei Snap ist der Download Ordner nicht änderbar. Man könnte also dem Ordner die Schreibrechte entziehen.

USB-Sticks sollte man mounten können

Das macht das Ganze allerdings etwas "Sinnfrei" ... 😎

Vielen Dank für eure Antworten! Ja, die Anforderungen widersprechen sich zum Teil und sind auch... sinnfrei. Ich versuche nur umzusetzen, was die Fachbereichsleitung verlangt 😉 .

Mir ist noch eingefallen, ob mir eventuell Firejail weiterhelfen könnte?

Ich arbeite eure Vorschläge heute und Freitag ab und melde mich nochmal, ob es geklappt hat!

MfG Zerhonia

Wie bereits gesagt - wenn die Anforderung aus der Idee "Es sollen keine dauerhaften Veränderungen am System möglich sein" kommen, ist das umsetzbar. Die "Guest Session" sollte das tun, die Daten des Gastes werden nach Logout wieder entfernt ☺ Aus dem Home heraus kann der user sowieso quasi nicht. Es wird halt etwas gespeichert, so lange die Sitzung aktiv ist, das kannst Du nicht verhindern. Mindestens im RAM sind die Daten immer.

Das sollte sowohl Dir aus auch deinem Auftraggeber bewusst sein

Und nein, eine Firewall hilft Dir nicht bei Menschen, die vor dem Rechner sitzen. Die hat damit nichts zu tun.

Hallo zusammen,

eine Guest Session werde ich wohl als nächstes probieren.

Ich komme leider nur langsam voran, weil ich im Terminal nicht firm bin und jeden Befehl haarklein recherchieren muss. Das habe ich bisher umgesetzt:

Neuen Benutzer angelegt und ihn in eine eigene Gruppe gesteckt.

Firefox about:config angepasst:

browser.download.alwaysOpenPanel = false
browser.download.panel.shown = false
browser.download.useDownloadDir = false

Das ist jetzt kein durchschlagender Erfolg, aber macht es schwerer die Downloads zu finden.

Die Kindersicherung installiert und damit so ziemlich alle Programme gesperrt. Das Programm ist nur im Debian Repository verfügbar nicht im Snap Store.

Der Benutzer "sieht" jetzt nur noch den Webbrowser und Libreoffice. Installationen gehen nur mit root-Passwort. Was ich noch nicht getestet habe ist, wenn irgendeine schlaue Maus versucht software-center über den Terminal zu öffnen. Eigentlich sollte die Kindersicherung das unterbinden.

Ich werde leider nächste Woche nicht dazu kommen an dem PC zu arbeiten. Meine ToDos danach sind:

• Dem Benutzer nur noch Zugriff auf sein Home-Directory zu gewähren

• Wenn möglich, den Schreibzugriff für das Home-Directory sperren

• ChatGPT meinte noch, ich könne über ufw (uncomplicated firewall) outgoing-Verbindungen mit Filterregeln versehen und so Downloads verhindern → ich möchte ausprobieren, ob anstatt konkreter Webadressen die Einstellung sudo ufw default deny outgoing auch funktioniert, aber das könnte zu restriktiv sein. Und recherchieren, ob iptables eventuell etwas ähnliches kann.

Ich melde mich in zwei Wochen nochmal und sage mir solange - im Gegensatz zu meinen privaten PC-Problemen werde ich hierfür immerhin bezahlt 😊

Threadentführung zum abtrennen gemeldet. Bitte jetzt nicht noch einen Thread dazu eröffnen sondern abwarten bis ein Mod es abtrennt. Danke.