ja hallo erstmal,... am Sonntag, 15. Februar 2004 20:08 schrieb Loom L�chle:
> > > > > > sein und die User sollen nur bestimmte Programme benutzen k�nnen. Ich > > > > hatte mir das so vorgestellt, dass ich den Client �bers Netzwerk > > > > booten lasse und gleich X startet. > > > > Sinnlos. "evildoer" k�nnte Bootdiskette mitbringen, schon hast du den > > Salat. > > Dann hat der Rechner eben kein Disketten laufwerk ; ) > ganz so genau muss ich es nicht machen, das l�uft alles auf ner vm Also, das ganze System soll in einer rein emulierten Umgebung laufen? Kann Schule so weltfremd sein? Was ich mit dem Beispiel Diskettenlauffwerk erw�hnen wollte,ist, dass sobald jemand physikalischen Zugriff zu einem PC hat, dieser kaum abzusichern ist. > > > Dann wollte ich KDE benutzen und das > > > > > > > Startmen� je nach Gruppe anpassen. > > > > XDMCP oder was hattest du dir gedacht. > > das wei� ich nicht, da frag ich grad im kde forum nach : ) aber danke f�r > den tipp werd ich mir mal angucken Die werden dich woanders hin verweisen. Das ist eine Technik, beider man u.a. den ganzen Desktop �ber das Netz verschickt. > > >Um zu verhindern das die Benutzer �ber > > > > > > > ne shell, also nen term oder alt+f1 programme direkt starten k�nnen, > > > > wollte ich das halt abstellen. Wie sieht es denn aus wenn ich den > > > > Usern keine shell gebe? also /sbin/nologin? kann sich der User dann > > > > noch im X anmelden? Nein... ist ja quatsch, die shell ist ja nen > > > > befehlsinterpreter... > > > > Und soll bei einer nichter-Terminalserverl�sung verhindert werden, dass > > $user eine Shell in einem X-Fenster startet? > > Wenn du xdmcp nutzt, sind deine Probleme zu Ende. > > Aber mal ernsthaft: Wenn du X und Konsolen auf einem Server hast, > > was soll "evildoer" unter X nicht k�nnen, was er auf der Konsole kann? > > ich will es mir ja relativ einfach machen, wenn ich nur die m�glichkeit > gebe programme zu benutzen die im kde men� freigegeben sind, brauch ich > nicht auf zugriffsebene die programme einzeln freigeben oder sch�tzen. Jetzt wird es Konfus. Wie willst du DAS anstellen? Dr�ck bei einem aktuellem KDE (z.B. bei 3.1.4 - habe ich hier) STRP+T im Konqueror. > wenn > der benutzer ne shell hat kann er alles m�gliche machen, wenn er nur nen > schreibprogramm hat und nur sachen auf seinem ~ speichern kann dann ist das > was anderes, als wenn er auf ner shell versucht irgendwelche > sicherheitsl�cken auszunutzen. Puh. Also, let's get things straight: Du kannst NICHT die Ausf�hrbaren Programme mit dem KDE beschr�nken. Die EINZIGE M�glichkeit zu verhindern, dass ein Benutzer nicht ein Programm auszuf�hren, obwohl er daf�r Rechte hat ist das Programm zu l�schen. Die EINZIGE M�glichkeit, einem Benutzer die Rechte zu entziehen beliebiges Programm ausf�hren ist ihm, und sonst kolllateralschaden-Opfern die Rechte zum Ausf�hren zu entziehen. Selbst der KDM kann ich bei mir eine Shell starten. Was du allenfalls Probieren k�nntest. w�re eine GUI in Java zu schreiben, die ANSTELLE eines Window-Managers zu laden. und diese so zu beschr�nken, dass der Benutzer KEINERLEI Zugriff auf das System hat. Aus einer JavaVM auszubrechen ist SEHR schwer, siehst du an Applets. Die EINZIGE M�glichkeit die ich kenne, zu verhindern, dass "nicht gew�nschte" Programme ausf�hre ist der Fritz-chip. Bitte sehe ein, das Linux nicht Windows ist und das graphische System nur ein Aufbau auf die Shell ist. Du denkst wie ein Windows-User. Btw. Mir ist kein Windows-Ansatz f�r das Problem bekannt, der sich nicht umgehen l�sst. Keep smiling yanosz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
