staging.inyokaproject.org

Hallöchen!

Vorab - folgendes ist für ein Projekt gewünscht:

- User haben eigene Accounts mit eigenen /home Verzeichnissen
- User dürfen in /home Verzeichnisse speichern (mit mit quota geregelt)
- User dürfen OpenOffice nutzen und mit Firefox im Internet surfen
- USB-Sticks dürfen gemounted werden

Dabei werden das Aussehen und die Features von Desktop und Browser streng reglementiert (bspw. keine Menüleiste mehr im Firefox, keine Menüs mehr in Gnome, nur ein paar Programme auf dem Desktop).

Das alles ist mit einer Ext. für Firefox und mit pessulus möglich. Allerdings kann der geübte Linux-Nutzer diese "Hürden" schnell umgehen:

folgendes ist möglich:
- man kann mittels Rechtsklick auf Desktop einen Starter anlegen und so pessulus starten → obige Konfig hinfällig
- die Konfiguration der Nutzerkonten ist in /etc/skel vorgegeben, und somit nach anlegen eines Kontos im /home Verzeichnis vorhanden → jeder kann die Textfiles ändern oder vom eigenen Gnome-Desktop-Pc mitbringen und überspielen → obige Konfig hinfällig
- man kann eigene Binaries oder Scripts per USB einschleusen und ausführen, ohne Root-Rechte, trotzdem nicht gewünscht

Wie kann man ein System soweit absichern, dass wirklich nur das erlaubt ist, was vorgegeben ist?
Wie wird das üblicherweise gelöst?

Danke & Grüße

- man kann mittels Rechtsklick auf Desktop einen Starter anlegen und so pessulus starten → obige Konfig hinfällig

# Ändern des Desktophintergrunds verhindern
sudo chmod 750 /usr/bin/gnome-appearance-properties

# User das Schreibrecht auf dem Desktop nehmen indem der Besitz zu root wechselt.
sudo chown root /home/[user:/Desktop

[quote]- USB-Sticks dürfen gemounted werden[/quote] [quote]- man kann eigene Binaries oder Scripts per USB einschleusen und ausführen, ohne Root-Rechte, trotzdem nicht gewünscht [/quote] Ich finde das beisst sich! Glaube nicht, das man das unter einem Hut bekommt. Das folgende hab ich nicht getestet, könnte aber funktionieren::

# Media-Devices (USB-Sticks) nur noch lesend mounten sudo chmod 754 /media Damit sollte vom USB-Stick selbst nichts mehr ausgeführt werden können.

Damit man nichts auf home kopieren und dort ausführbar macht, bleibt glaube ich nur dem User das Besitzrecht und das Ausführen zu nehmen. Das dürfte a) recht aufwändig und b) funktionsgefährdend sein. Keine Ahnung obs da wirklich ne gute Lösung gibt.

Vielleicht kannst Du hierraus ja noch was verwerten:: http:://forum.ubuntuusers.de/topic/156617/?highlight=

Gruß

Tom:/Desktop [quote\]- USB-Sticks dürfen gemounted werden[/quote\] [quote\]- man kann eigene Binaries oder Scripts per USB einschleusen und ausführen, ohne Root-Rechte, trotzdem nicht gewünscht [/quote\] Ich finde das beisst sich! Glaube nicht, das man das unter einem Hut bekommt. Das folgende hab ich nicht getestet, könnte aber funktionieren: # Media-Devices (USB-Sticks) nur noch lesend mounten sudo chmod 754 /media Damit sollte vom USB-Stick selbst nichts mehr ausgeführt werden können. Damit man nichts auf home kopieren und dort ausführbar macht, bleibt glaube ich nur dem User das Besitzrecht und das Ausführen zu nehmen. Das dürfte a) recht aufwändig und b) funktionsgefährdend sein. Keine Ahnung obs da wirklich ne gute Lösung gibt. Vielleicht kannst Du hierraus ja noch was verwerten: http://forum.ubuntuusers.de/topic/156617/?highlight= Gruß Tom]

Dachte ich mir schon, dass das schwierig wird...

Am wichtigsten wäre jedoch, dass die Nutzer die Einstellungen nicht verändern dürfen, aber die sind ja immer in /home gespeichert und so durch den Nutzer änderbar...

Ich hatte die Idee, statt Dateien nur Symlinks in die /etc/skel (woraus ja die /home Verz. generiert werden) zu legen, scheint jedoch nicht zu funktionieren, Gnome verweigert bei der Anmeldung den Start.

Grüße,
Fred

Mir ist jetzt aufgegangen wie man das auführen von Binaries, beispielsweise in /home oder von USB-Sticks verhindert.
Eigentlich gar nicht schwer (Voraussetzung ist eine eigene Partition für /home) 8)

/home bzw. USB-Stick muss mit dem flag 'noexec' gemounted werden.
Die flags 'nodev' (Dateien werden nicht als Gernäteknoten interpretiert) und 'nosuid' (SUID-Bit wird wirksam) können zusätzliche Sicherheit bringen.

Bsp. /etc/fstab:

/dev/sdb1     /home     ext3     defaults,nodev,doexec,sosuid   1  2

Hi,

auch wenn es mich nichts angeht, aber in welcher Umgebung will man das denn so absichern?
Weil es scheint mir bisschen widersprüchlich, dass Leute zwar eigene Logins haben, aber damit eigentlich doch nichts anstellen dürfen.

Gruß

Brunni hat geschrieben:

in welcher Umgebung will man das denn so absichern?

Z.B. in jedem IT-Hörsaal in Schulen/Unis etc. Man kann sich ja nicht drauf verlassen, dass sich Schüler immer so verhalten wie es sich der Admin das vorstellt. Da hab ich schon viel zu viel erlebt 😉
Die Benutzer sollen ja auch die Möglichkeit haben ins /home-Verz. Dateien, die sie erstellt/heruntergeladen haben, abzuspeichern. Außerdem sollen deren Aktivitäten mitgeloggt werden, wobei die Aktiväten immer zu einer bestimmten Person/einem bestimmten Benutzernamen zu zuordnen sein müssen - um im Schadensfall Beweise vorbringen zu können. Kaum vorstellbar wenn ein Schüler im Internet krimelle Handlungen durchführt und die Schule keine Beweise hat.
Ähnlich verhält es sich mit Online-Bestellungen in Internetshops, wenn der Adressat die Warenannhame verweigert/nicht zahlen will und die Schule dafür haften muss (ein Szenario, das schon häufig vorkam). Deshalb ist ein reiner "Kiosk-Modus" keine Alternative.

Sicherheit sollte so ziemlich immer und überall die oberste Maxime sein. Man sollte Benutzern immer nur soviel Freiheiten wie nötig einräumen, sodass das potenzielle Risiko gering gehalten wird.

Mit sabayon (http://www.gnome.org/projects/sabayon/)scheint jedoch eine ganze Menge möglich zu sein, mal sehen...

Gruß.