Multiuser-Umgebung erstellen und administrieren!

[pommespaula]

Lieber debianforum.de User,

ich versuche gerade an einem Rechner eine Multiuser Umgebung einzurichten mit ca. 20-30 Accounts und einem Gast Account.
Als Betriebssystem dachte ich hierbei an Debian Etch.

Dazu habe ich folgende Dinge:

1) Auf einer zweiten Festplatte soll noch Windows laufen. Also brauch ich für die Linux Partitionen eine Verschlüsselung damit nicht von Windows aus zugegriffen werden kann. Hier bietet es sich vermutlich an die Verschlüsselung direkt bei der Partitionierung, während der Installation von Etch auszuwählen. Hat jemand eine Idee was ich beachten sollte? Und vieleicht ein guten Artikel zur Festplattenverschlüsselung parat?

2)Root soll auf die Daten in den User-Homes zumindest kein Leserecht haben. Ist das realisierbar?

3)Beschränkung der Homes Ordner auf ein maximales Datenvolumen (am besten für jeden User flexibel geregelt)

4)Der Gast Account und ggf. einige andere Accounts sollen sehr eingeschränk sein. Hierfür bietet sich im Prinzip das Kiosk Tool für KDE und Sabayon für GNOME. (Vermutlich beschränke ich mich aus administratorischen Gründen auf Gnome). Jedoch möchte ich das ganze gerne über SSH ohne "x forwarding" konfigurieren können, was bietet sich hier an?

5)Und was sonst noch alles zu beachten ist....... und ich nicht bedacht habe!!!!

Vieleicht hat auch jemand einfach einen guten Artikel ,Wiki oder aber auch ein Buch dazu!!
Vieleicht ist eine solche Aufgabe auch einfach zu hoch für mich. Ich kann jedoch nicht viel kaputt machen, da es innerhalb eines privaten Vereins passiert und keinen kommerziellen Rahmen hat. Würde also gerne an der Aufgabe wachsen!!!!

Würde mich über einige Antworten und Anregungen freuen.

[rene04]

hi,

1) brauchst du eigentlich nicht verschlüsseln weil windows keine linux-dateisysteme kennt.

2) ?

3) müsste über quotas gehen, bin ich mir aber nicht sicher.

4) ?

gruesse

[nihilist]

1.
http://wiki.debianforum.de/CryptoFsMitUsbStick
http://wiki.debianforum.de/CryptoFsMitDmcryptUndLuks

oder die von dir angesprochene komplette Verschlüsselung während des bootens

2. Ich denke nicht, root darf eingentlich immer alles....


3.Stichwort "quota" einen Links dazu habe ich gerade nicht parat.

[nihilist]

hi,

1) brauchst du eigentlich nicht verschlüsseln weil windows keine linux-dateisysteme kennt.


gruesse

Aber es gibt zumindest Treiber für Windows um Ext2/3 Filesysteme lesen und zu schreiben...

[rene04]

hi,

1) brauchst du eigentlich nicht verschlüsseln weil windows keine linux-dateisysteme kennt.


gruesse

Aber es gibt zumindest Treiber für Windows um Ext2/3 Filesysteme lesen und zu schreiben...

oh, is mir neu.

gruesse

[towo]

Aber es gibt zumindest Treiber für Windows um Ext2/3 Filesysteme lesen und zu schreiben...

Die bringt Win aber nicht von Haus aus mit.
Und root aus den user-homes auszusperren, dürfte etwas schwierig sein, zumal die Masgabe

zumindest kein Leserecht

völliger Nonsens ist, da das impliziert, daß das Schreiben kein Problem wäre.

[comes]

wenn du sicherheit haben willst, und sicher gehen willst, dass der root nicht die daten von user XYZ lesen soll, dann leg dir ein cryptfile für jeden user zu.
Root interessiert eh selten der inhalt der daten, sondern eher den platzverbrauch!

das hat 2 vorteile! root löscht das cryptfile, wenn der user nicht mehr ist,
und, soweit ich das in erinnerung habe, ist das cryptfile auf eine bestimmte größe begrenzt. ist das file voll, gehen auch keine daten mehr rein --> deine user plattenplatz begrenzung wäre damit also "elegant" gelöst

[pommespaula]

danke comes.

Die Sache mit dem cryptfile werde ich mir mal anschauen und schauen ob das dem Aufwand<->Nutzen Faktor standhält.
Jedenfalls weiß ich jetzt schonmal, dass es ziemlich kompliziert ist Root auszusperren.

Um von Windows aus die Festplatte zulesen braucht es nicht viel, nur dieses kleine Programm
http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm
Damit kann man schnell jede Datei von Windows aus lesen (die ganzen Root Files inklusive).

[towo]

Um von Windows aus die Festplatte zulesen braucht es nicht viel, nur dieses kleine Programm
http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm
Damit kann man schnell jede Datei von Windows aus lesen (die ganzen Root Files inklusive).

Das kann aber keiner unter Win installieren, wenn der User keine Admin-Rechte hat.

[pommespaula]

okay

ersteinmal benötigt explore2fs keine windows typische installation, d.h. ich kanns herunterladen und einfach ausführen.

aber das soll hier egal sein, denn die windows umgebung wird nicht gewartet und nicht administriert. dort soll jeder weiter machen dürfen was er will. und ich will nichts weiter damit zu tun haben,
nur für diejenigen die nicht ständig bock darauf haben, dass der rechner nicht, nur sehr langsam läuft und voller viren ist richte ich einen linux account ein. (wenn ich alles soweit hinbekomme).

[Spasswolf]

Dann kann aber doch auch jeder die Linuxpartition von WIndows aus formatieren, oder?

[cirrussc]

Moin,

ersteinmal benötigt explore2fs keine windows typische installation, d.h. ich kanns herunterladen und einfach ausführen.

IFS driver[1] braucht eine, ist IMHO aber der beste ext-fs-treiber für Win den ich kenne.

Dann kann aber doch auch jeder die Linuxpartition von WIndows aus formatieren, oder?

Unter win kann man jede Partition formatieren, auch wenn da was wichtiges, nur in einem anderen FS, drauf ist

[1] http://www.fs-driver.org/index.html

Gruß cirrussc

[herrchen]

Unter win kann man jede Partition formatieren, auch wenn da was wichtiges, nur in einem anderen FS, drauf ist

das liegt aber nicht am OS, sondern an den adminrechten. darauf wollte "spasswolf" wohl hinaus ...

herrchen

[pommespaula]

Das kann im Prinzip jeder, dass ist soweit richtig.

Die Sache ist jedoch die:
Man muss sich einen Schlüssel an der Rezeption abholen und in eine Liste eintragen um den Computer nutzen zu können. Derjenige, der den Rechner formatiert hat, ist also leicht festzustellen und hat mit entsprechenden Konsequenzen zu rechnen.
Gegen einfachen Vandalismus sollte das reichen.

[comes]

es geht doch nichts über dsl aufm usb stick oder nen schicke boot-cd ...

enthebelt sämtliche einschrenkungen auf der software.. ich bin mein eigenen admin und wenn ich will, zerschieß ich mir selbst das system... achja, und fremdsysteme auslesen geht damit auch noch...

[clue]

wenn du sicherheit haben willst, und sicher gehen willst, dass der root nicht die daten von user XYZ lesen soll, dann leg dir ein cryptfile für jeden user zu.
Root interessiert eh selten der inhalt der daten, sondern eher den platzverbrauch!

das hat 2 vorteile! root löscht das cryptfile, wenn der user nicht mehr ist,
und, soweit ich das in erinnerung habe, ist das cryptfile auf eine bestimmte größe begrenzt. ist das file voll, gehen auch keine daten mehr rein --> deine user plattenplatz begrenzung wäre damit also "elegant" gelöst

Genau das interessiert mich auch. Wie kann ich es denn bewerkstelligen, daß beim Anmelden eines Users mit KDM sein Kryptocontainer/Partition gemountet wird?

[Tekilla]

Hallo,
du kannst mal das Tutorial von hier
http://www.ubuntu-eee.com/wiki/index.ph ... _folder/de
durchschauen. Es beschreibt schön wie man verschlüsselte Home-Ordner anlegt. Hab ich hier bei mir auf dem Laptop eingerichtet, läuft bestens.

[clue]

Danke, werd ich mir mal in Ruhe ansehen. Zum Glück existieren die benötigten Pakete schon in Etch.

Allerdings wäre ich schon eher an einer Variante mit dmcrypt interessiert. Wie kann ich es erreichen einen User anzumelden, wobei dann automatisch sein verschlüsselter container gemountet und entschlüsselt wird. Notfalls auch per Skript, aber so, daß der user nicht root-Rechte hat.

[Savar]

verschoben von "Programm gesucht"

viele Grüße,
Savar