Gast-Konto erstellen

[rothom]

Hallo Miteinander,

ich hoffe, ich bin hier mit meinem Thread bzw. meiner Anfrage richtig. Ich möchte gerne einen Gast-Account erstellen. Login sollte dann gast/gast sein, vor allem aber sollte der Gast-User keine Einstellungen vornehmen können. Will sagen: Wer auch immer sich mit gast/gast einloggt, soll dann die Default Einstellungen haben und keine vom vorherigen Gast-User individualisierten Einstellungen vorfinden. Wie lässt sich sowas managen?

Ich nutze Openbox unter Wheezy.

PS: Ich hoffe, ich komme jetzt nicht zu kryptisch rüber?

Gruß
rothom

[syssi]

Ein etwas radikaler Ansatz: Du koenntest vor/nach jedem Login das Home-Verzeichnis des Users "gast" leeren. So bekommt niemanden Dateien/Einstellungen von Dritten zu Gesicht.

[rothom]

Hallo syssi,

ist es denn auch möglich, einen User ohne eigenes Home-Verzeichnis anzulegen? Oder beinhaltet das dann auch gravierende Einschränkungen beim Nutzen des Kontos?

Gruß
rothom

[DeletedUserReAsG]

Man könnte auch ein Image für ~ bereitstellen, und das als RAM-Disk einbinden. Oder eines nur lesbar mounten, und ein z.B. AUFS drüberlegen. So könnte man die grundlegenden Usereinstellungen vornehmen, und hätte trotzdem nach dem Logout wieder einen neuwertigen Account.

cu,
niemand

[syssi]

ist es denn auch möglich, einen User ohne eigenes Home-Verzeichnis anzulegen? Oder beinhaltet das dann auch gravierende Einschränkungen beim Nutzen des Kontos?

Viele deine Systemdienste, welche unter einer eigenen User-ID laufen haben kein gesetzes Home-Verzeichnis. Fuer Benutzer bietet es sich jedoch nicht an. Jede zweite Anwendung ist darauf angewiesen, dass ein schreibbares Homeverzeichnis existiert ansonsten verweigert sie ihren Dienst. Ich gehe davon aus, dass die X-Session nicht sauber startet und du sofort in den Login-Manager zurueckgeworfen wirst, wenn der Benutzer kein Homeverzeichnis besitzt.

Wenn dir Niemands-Vorschlag zu kompliziert ist, dann erreichst du mit einem Verzeichnis loeschen und ersetzen mit einer Default-Konfiguration das gleiche Ergebnis.

[Nachtschatten]

Du könntest ein Script/Programm schreiben, dass alle einstellung löscht bzw. resettet.
Dieses Script/Programm machts du dann in den autostartordner deines Gast Kontos.

WICHTIG!: das Script/Programm darf NICHT das Script/Programm aus dem autostartordner löschen.

[4A4B]

Dieses Script/Programm machts du dann in den autostartordner deines Gast Kontos.

Dann kann der Gast dieses Script aber auch einfach löschen.

[KBDCALLS]

Aber nicht wenn das Script root:root gehört und die als Rechte 755 hat.

[syssi]

Aber nicht wenn das Script root:root gehört und die als Rechte 755 hat.

Das stimmt nicht in jedem Fall. Normalerweise ist der User Herr über sein Home-Verzeichnis. Er darf deshalb dort auch Dateien loeschen, welche root:root gehoeren. Probiers mal aus:

Code: Alles auswählen

cd
sudo touch testit
ls -l testit
rm -f testit
ls -l testit

Die Datei ist weg, obwohl sie nicht dem Besitzer gehoert(e).

[catdog2]

Das stimmt nicht in jedem Fall. Normalerweise ist der User Herr über sein Home-Verzeichnis. Er darf deshalb dort auch Dateien loeschen, welche root:root gehoeren. Probiers mal aus:

Dann muss man halt zur harten Keule greifen:

Code: Alles auswählen

chattr +i testit

[wanne]

Ich würde es schon eher in die /etc/profile bzw. in /etc/profile.d/ schreiben. Da gehört es eigentlich hin. Du hasst du halt ein problem wenn sich der User an mehreren ttys anmeldet.
Aber das kann man abfangen

Eine andere Idee ist /etc/kde4/kdm/Xstartup Die wird gleich als root ausgeführt. Gibt's aber nur wenn man sich über den KDM anmeldet. (Für andere DMs zwar bestimmt auch aber nicht für die tty)

[uname]

Ich habe das ganze auch schon mal unter Openbox gemacht. Meine radikalste Version war dem Gast-Benutzer einfach in /etc/passwd die Shell /usr/bin/startx zu geben. Als zweiten Schritt solltest du dem Benutzer dann nur noch die Programme im Openbox-Startmenü anbieten, die er haben darf, da er sonst z.B. mit Thunar weiterhin auf Dateien zugreifen könnte Leider fällt mir nun nicht ein wie man es anstellen kann, dass nach dem Beenden der Sitzung oder bei neuer Sitzung alle Benutzerdaten gelöscht werden. Aber das würde ich aus Sicherheitsgründen sowieso nicht dem Benutzeraccount, sondern root überlassen. Vielleicht kann man an PAM etwas rumbiegen. Wäre aber schon anspruchsvoller.

Ich gehe mal davon aus, dass wahrscheinlich Iceweasel zum Einsatz kommen soll. Vielleicht kann eben noch jemand posten wie man
1.) Iceweasel direkt im privaten Modus startet bzw. die Konfigs anpasst
2.) Iceweasel den Befehl file:/// zum Zugriff auf das Dateisystem austreibt
Danke. Kann ich nämlich auch wohl gebrauchen.

[wanne]

Ich habe das ganze auch schon mal unter Openbox gemacht. Meine radikalste Version war dem Gast-Benutzer einfach in /etc/passwd die Shell /usr/bin/startx zu geben. Als zweiten Schritt solltest du dem Benutzer dann nur noch die Programme im Openbox-Startmenü anbieten, die er haben darf, da er sonst z.B. mit Thunar weiterhin auf Dateien zugreifen könnte

Eine uter Windows sehr gebräuchliche Methode, die im allgemeinen nicht funktioniert. Bei uns an der UNI haben sie das auch versucht. (Im PÜ-Modus nur FF und nano und gcc.) Auch da hätte man im prinzip beliebigen Code ausführen können. (Über FF mit FF->Plugins oder FF->Add-Ons. Da kann man sich was beliebige selber schreiben oder sowas nehemn. https://addons.mozilla.org/en-US/firefo ... src=search und dann ein script schreiben, dass das Argument ignoriert.) Bestimmt kommt man auch sonst über den Filemanager irgend was ausgeführt. Wie mit F4 bei Konqueror. Als anderen trick kann man das script bei pastebin hohchladen und dann in /proc/ die shell suchen, die im hintergrund läuft und da in fd/1 runterladen.
Allerdings haben die sofort alles gekillt, was an Prozessen da war, die da nich sein sollten, sodass man im Dateimanager gar nicht erst zum auswählen des Ordners kam. Aber das hätte man bestimmt auch irgend wie herauszögern können.
Man sollte sowas einfach über Dateiberechtigungen an den ausführbaren Dateien machen und eine entsprechend restriktive shell zur verfügung stellen.