Wie kann einen Gast-Zugang restriktiv konfigurieren?

[ulrich1965]

Hallo,

auf einem Debian12 Laptop, der in meiner Gemeinde (fast) öffentlich zugänglich ist, möchte ich dafür sorgen, dass ein Gast sich zwar einloggen kann und z.B. im Internet surfen kann, aber manches andere nicht kann. Genauer:

Der Gast soll können:

• Firefox benutzen
• LibreOffice, Gimp und andere installierte Anwendungen benutzen
• Dokumente drucken
• USB-Sticks einstecken (read/write)

Der Gast soll nicht können:

• Firefox Einstellungen ändern (damit z.B. keine Passwörter gespeichert werden)
• Thunderbird benutzen

Was ich bereits gemacht habe:

• User gast angelegt; mit einem Password, das bei Bedarf ausgehändigt wird
• Die erwünschten Anwendungen installiert, soweit nicht ohnehin vorhanden

Für Tips oder Hinweise z.B. auf How Tos wäre ich sehr dankbar.

[cosinus]

Ich glaube was du suchst/willst ist ein https://de.wikipedia.org/wiki/Kiosk-Modus
Wurde da schonmal bekrakelt -> viewtopic.php?t=189500

[uname]

Überlege dir, ob der Gast wirklich Thunderbird und LibreOffice und damit Zugriff zu Dateien benötigt. Vielleicht reicht ja auch nur ein Browser mit stark eingeschrânktem Desktop Environment oder besser Window Manager.

[wanne]

Ich würde home beim login als tmpfs mounten. Dann sind beim logout alle Daten weg.
Bei der Restriktion in Richtung Programme wie du sie unter Android hast wirst du dir schwer tun. Die Abgrenzung gibt es so in Debian oder Windows erst mal nicht. Diverse Komponenten werden von vielen Programmen genutzt. Gerade firefox und thunderbird dürften sich vieles teilen, da sie aus dem gleichen Sourcecode compiliert werden (oder zumindest lange zeit wurden). Deswegen gibt es Abhängigkeiten. Lösungen die versuchen da irgend was zu verbieten landen immer irgend wo zwischen: Über einen minimal anderes Interface bekomme ich (quasi) die volle Funktionalität von Programm B und die Hälfte von Programm A tut nicht weil Programm B nicht genutzt werden darf.
Es gibt docker/flatpack/Services.. die da feingranularere Berechtigungen erlauben. Aber fürs übliche Paket ist da nichts. Zumal der Zugriff auf den Browser im Zweifelsfall eh alle Funktionalität bereit stellt indem man JSLinux oder ähmliches im Zweifelsfall alle Programme ausführen kann. – Wenn auch in stinke lahm. Sobald du dem Nutzer erlaubst turingvollständige Scripte laufen zu lassen sind solche Einschränkungen sinnlos. Es gibt bewiesener maßen immer einen Weg sie zu umgehen. Nur das finden mag manchmal kompliziert sein.

[pcdoc]

Firefox Einstellungen ändern (damit z.B. keine Passwörter gespeichert werden)

Das kannst du durchaus unterbinden. Je nachdem wie viel du sperren willst, kann es allerdings aufwendiger werden. Ist hier ganz gut beschrieben: https://www.tipps-tricks-kniffe.de/fire ... -schutzen/


Generell, wäre interessant was du damit wirklich machen willst. Wenn das ein rein "öffentliches" Notebook ist unterscheidet sich das Setup von einem Notebook was für andere Zwecke genutzt werden soll und nur zusätzlich als "öffentliches" Notebook dienen soll (Stichwort: sensible Daten).

[uname]

Ganz restriktiv ähnlich früher Webconverger.

Window Manager matchbox-window-manager
Nutze Firefox statt beschriebenen Iceweasel

viewtopic.php?t=129612

Vielleicht kann das jemand auf z.B.systemd aktualisieren. ~/.xinitrc erscheint mir veraltet. Oder ist xinit bzw. startx noch sinnvoll?

[KP97]

Der TE will ja nicht nur den Browser eingrenzen, was noch relativ einfach wäre, sondern auch einige andere Programme.
Das wird dann auch mit einem Kioskmode nicht gehen.
Da kommt eigentlich nur eine Live-DVD infrage, die ist ja für alle Anwendungen nur readonly.

[frogbert]

Hallo!

Ich frage mich dennoch nach dem Sinn des Ganzen, bzw. was erreicht/verhindert werden soll?

1. Sicherheitsdingens:

Gast darf nicht die Möglichkeiten haben, gespeicherte Paßwörter (etc.) im Firefox/Home von regulären Benutzern/anderen Gästen auszulesen (oder eine vorangegangene Sitzung anderer Gäste fortzuführen o.s.ä.)


2. Komforteinschränkung

Gäste/alle sollen sich, anders als zu Hause, nicht zu Hause fühlen (im bereitgestellten Laptop), sondern wirklich nur Dinge nachschlagen etc. E-Mails sind über Webfrontends zu versenden (praktischerweise macht das dann wohl keiner, wegen angemessen komplexer Passphrase,die niemand im Kopfe hat und sowieso vorhandenem Smartphone, oder oder).

3. Irgendwelche Auflagen

Gibt es denn zur Zeit andere reguläre Nutzer (mit Home)?


grüße

[cosinus]

Das wird dann auch mit einem Kioskmode nicht gehen.

Warum nicht? Hast du ne andere Vorstellung von Kiosk-Mode? Dieser Modus ist ein besonders eingeschränkter Modus, der zB auf öffentlichen Terminals eingesetzt wird.

Da kommt eigentlich nur eine Live-DVD infrage, die ist ja für alle Anwendungen nur readonly.

Nein. Da ist eben nicht alles ro! Bestimme Bereiche werden mit overlayfs rw gemountet.

[thunder11]

Der Kiosk-Mode ist meist nur für einzelne Programme ausgelegt (z.B. Browser im Full-Scren)
Ich habe da nichts gefunden (bis auf Proprietäres) was man so weit erweiten kann, wie vom Fragesteller
gewünscht.
Eine Live-CD hat ja den Nachteil, dass sie meist dazu genutzt werden kann, ein defektes System zu reparieren.
Damit hat man in der Regel einen Vollzugriff auf das installierte System. Somit kann ein Nutzer problemlos
das eigentliche System, was ja geschützt werden soll, gründlich schrotten. Das müsste dann schon eine
speziell hergestelltes Live System sein.

Eine Möglichkeit, die mir noch einfällt, wäre ein extra installiertes Betriebssystem, mit minimaler
Softwareausstattung (wie gewünscht), und die Programme alle über firejail zu starten.
Wenn man dann zum Beispiel versucht, ein Terminal zu starten

Code: Alles auswählen

firejail konsole

ergibt das dann:

Code: Alles auswählen

~$ su
bash: /usr/bin/su: Keine Berechtigung

in

Code: Alles auswählen

/etc/firejail/

gibt es für fast alles entsprechende Profile.
Wenn man die Partitionen des zu schützenden Systems nicht mountet, können sie noch nicht einmal
eingesehen werden (Root- PW weiß der Nutzten natürlich nicht).

Wäre ein Vorschlag