Re: Fwd: Re: Abstellen von multiplen Terminals
ja hallo erstmal,...
am Sonntag, 15. Februar 2004 20:08 schrieb Loom Lächle:
> >
> > > > sein und die User sollen nur bestimmte Programme benutzen können. Ich
> > > > hatte mir das so vorgestellt, dass ich den Client übers Netzwerk
> > > > booten lasse und gleich X startet.
> >
> > Sinnlos. "evildoer" könnte Bootdiskette mitbringen, schon hast du den
> > Salat.
>
> Dann hat der Rechner eben kein Disketten laufwerk ; )
> ganz so genau muss ich es nicht machen, das läuft alles auf ner vm
Also, das ganze System soll in einer rein emulierten Umgebung laufen? Kann
Schule so weltfremd sein?
Was ich mit dem Beispiel Diskettenlauffwerk erwähnen wollte,ist, dass sobald
jemand physikalischen Zugriff zu einem PC hat, dieser kaum abzusichern ist.
> > > Dann wollte ich KDE benutzen und das
> > >
> > > > Startmenü je nach Gruppe anpassen.
> >
> > XDMCP oder was hattest du dir gedacht.
>
> das weiß ich nicht, da frag ich grad im kde forum nach : ) aber danke für
> den tipp werd ich mir mal angucken
Die werden dich woanders hin verweisen. Das ist eine Technik, beider man u.a.
den ganzen Desktop über das Netz verschickt.
> > >Um zu verhindern das die Benutzer über
> > >
> > > > ne shell, also nen term oder alt+f1 programme direkt starten können,
> > > > wollte ich das halt abstellen. Wie sieht es denn aus wenn ich den
> > > > Usern keine shell gebe? also /sbin/nologin? kann sich der User dann
> > > > noch im X anmelden? Nein... ist ja quatsch, die shell ist ja nen
> > > > befehlsinterpreter...
> >
> > Und soll bei einer nichter-Terminalserverlösung verhindert werden, dass
> > $user eine Shell in einem X-Fenster startet?
> > Wenn du xdmcp nutzt, sind deine Probleme zu Ende.
> > Aber mal ernsthaft: Wenn du X und Konsolen auf einem Server hast,
> > was soll "evildoer" unter X nicht können, was er auf der Konsole kann?
>
> ich will es mir ja relativ einfach machen, wenn ich nur die möglichkeit
> gebe programme zu benutzen die im kde menü freigegeben sind, brauch ich
> nicht auf zugriffsebene die programme einzeln freigeben oder schützen.
Jetzt wird es Konfus. Wie willst du DAS anstellen? Drück bei einem aktuellem
KDE (z.B. bei 3.1.4 - habe ich hier) STRP+T im Konqueror.
> wenn
> der benutzer ne shell hat kann er alles mögliche machen, wenn er nur nen
> schreibprogramm hat und nur sachen auf seinem ~ speichern kann dann ist das
> was anderes, als wenn er auf ner shell versucht irgendwelche
> sicherheitslücken auszunutzen.
Puh.
Also, let's get things straight:
Du kannst NICHT die Ausführbaren Programme mit dem KDE beschränken.
Die EINZIGE Möglichkeit zu verhindern, dass ein Benutzer nicht ein Programm
auszuführen, obwohl er dafür Rechte hat ist das Programm zu löschen.
Die EINZIGE Möglichkeit, einem Benutzer die Rechte zu entziehen beliebiges
Programm ausführen ist ihm, und sonst kolllateralschaden-Opfern die Rechte
zum Ausführen zu entziehen.
Selbst der KDM kann ich bei mir eine Shell starten.
Was du allenfalls Probieren könntest. wäre eine GUI in Java zu schreiben, die
ANSTELLE eines Window-Managers zu laden. und diese so zu beschränken, dass
der Benutzer KEINERLEI Zugriff auf das System hat.
Aus einer JavaVM auszubrechen ist SEHR schwer, siehst du an Applets.
Die EINZIGE Möglichkeit die ich kenne, zu verhindern, dass "nicht gewünschte"
Programme ausführe ist der Fritz-chip.
Bitte sehe ein, das Linux nicht Windows ist und das graphische System nur ein
Aufbau auf die Shell ist.
Du denkst wie ein Windows-User.
Btw. Mir ist kein Windows-Ansatz für das Problem bekannt, der sich nicht
umgehen lässt.
Keep smiling
yanosz
Reply to: