-----Original Message-----
From: Jan Lühr [mailto:jluehr@gmx.net]
Sent: Sunday, February 15, 2004 8:49 PM
To: debian-user-german@lists.debian.org
Cc: Loom Lächle
Subject: Re: Fwd: Re: Abstellen von multiplen Terminals
ja hallo erstmal,...
am Sonntag, 15. Februar 2004 20:08 schrieb Loom Lächle:
sein und die User sollen nur bestimmte Programme
benutzen können. Ich
hatte mir das so vorgestellt, dass ich den Client
übers Netzwerk
booten lasse und gleich X startet.
Sinnlos. "evildoer" könnte Bootdiskette mitbringen, schon
hast du den
Salat.
Dann hat der Rechner eben kein Disketten laufwerk ; )
ganz so genau muss ich es nicht machen, das läuft alles auf ner vm
Also, das ganze System soll in einer rein emulierten Umgebung
laufen? Kann
Schule so weltfremd sein?
Was ich mit dem Beispiel Diskettenlauffwerk erwähnen
wollte,ist, dass sobald
jemand physikalischen Zugriff zu einem PC hat, dieser kaum
abzusichern ist.
Dann wollte ich KDE benutzen und das
Startmenü je nach Gruppe anpassen.
XDMCP oder was hattest du dir gedacht.
das weiß ich nicht, da frag ich grad im kde forum nach : )
aber danke für
den tipp werd ich mir mal angucken
Die werden dich woanders hin verweisen. Das ist eine Technik,
beider man u.a.
den ganzen Desktop über das Netz verschickt.
Um zu verhindern das die Benutzer über
ne shell, also nen term oder alt+f1 programme direkt
starten können,
wollte ich das halt abstellen. Wie sieht es denn aus
wenn ich den
Usern keine shell gebe? also /sbin/nologin? kann sich
der User dann
noch im X anmelden? Nein... ist ja quatsch, die shell
ist ja nen
befehlsinterpreter...
Und soll bei einer nichter-Terminalserverlösung
verhindert werden, dass
$user eine Shell in einem X-Fenster startet?
Wenn du xdmcp nutzt, sind deine Probleme zu Ende.
Aber mal ernsthaft: Wenn du X und Konsolen auf einem Server
was soll "evildoer" unter X nicht können, was er auf der
Konsole kann?
ich will es mir ja relativ einfach machen, wenn ich nur die
möglichkeit
gebe programme zu benutzen die im kde menü freigegeben
sind, brauch ich
nicht auf zugriffsebene die programme einzeln freigeben
oder schützen.
Jetzt wird es Konfus. Wie willst du DAS anstellen? Drück bei
einem aktuellem
KDE (z.B. bei 3.1.4 - habe ich hier) STRP+T im Konqueror.
wenn
der benutzer ne shell hat kann er alles mögliche machen,
wenn er nur nen
schreibprogramm hat und nur sachen auf seinem ~ speichern
kann dann ist das
was anderes, als wenn er auf ner shell versucht irgendwelche
sicherheitslücken auszunutzen.
Puh.
Also, let's get things straight:
Du kannst NICHT die Ausführbaren Programme mit dem KDE beschränken.
Die EINZIGE Möglichkeit zu verhindern, dass ein Benutzer
nicht ein Programm
auszuführen, obwohl er dafür Rechte hat ist das Programm zu löschen.
Die EINZIGE Möglichkeit, einem Benutzer die Rechte zu
entziehen beliebiges
Programm ausführen ist ihm, und sonst
kolllateralschaden-Opfern die Rechte
zum Ausführen zu entziehen.
Selbst der KDM kann ich bei mir eine Shell starten.
Was du allenfalls Probieren könntest. wäre eine GUI in Java
zu schreiben, die
ANSTELLE eines Window-Managers zu laden. und diese so zu
beschränken, dass
der Benutzer KEINERLEI Zugriff auf das System hat.
Aus einer JavaVM auszubrechen ist SEHR schwer, siehst du an Applets.
Die EINZIGE Möglichkeit die ich kenne, zu verhindern, dass
"nicht gewünschte"
Programme ausführe ist der Fritz-chip.
Bitte sehe ein, das Linux nicht Windows ist und das
graphische System nur ein
Aufbau auf die Shell ist.
Du denkst wie ein Windows-User.
Btw. Mir ist kein Windows-Ansatz für das Problem bekannt, der
sich nicht
umgehen lässt.
Keep smiling
yanosz
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an
debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an
listmaster@lists.debian.org (engl)