Hallöchen!
Vorab - folgendes ist für ein Projekt gewünscht:
- User haben eigene Accounts mit eigenen /home Verzeichnissen
- User dürfen in /home Verzeichnisse speichern (mit mit quota geregelt)
- User dürfen OpenOffice nutzen und mit Firefox im Internet surfen
- USB-Sticks dürfen gemounted werden
Dabei werden das Aussehen und die Features von Desktop und Browser streng reglementiert (bspw. keine Menüleiste mehr im Firefox, keine Menüs mehr in Gnome, nur ein paar Programme auf dem Desktop).
Das alles ist mit einer Ext. für Firefox und mit pessulus möglich. Allerdings kann der geübte Linux-Nutzer diese "Hürden" schnell umgehen:
folgendes ist möglich:
- man kann mittels Rechtsklick auf Desktop einen Starter anlegen und so pessulus starten → obige Konfig hinfällig
- die Konfiguration der Nutzerkonten ist in /etc/skel vorgegeben, und somit nach anlegen eines Kontos im /home Verzeichnis vorhanden → jeder kann die Textfiles ändern oder vom eigenen Gnome-Desktop-Pc mitbringen und überspielen → obige Konfig hinfällig
- man kann eigene Binaries oder Scripts per USB einschleusen und ausführen, ohne Root-Rechte, trotzdem nicht gewünscht
Wie kann man ein System soweit absichern, dass wirklich nur das erlaubt ist, was vorgegeben ist?
Wie wird das üblicherweise gelöst?
Danke & Grüße