Gebhard Dettmar schrieb:
-----Original Message-----
From: Jan L�hr [mailto:[EMAIL PROTECTED] Sent: Sunday, February 15, 2004 8:49 PM
To: [EMAIL PROTECTED]
Cc: Loom L�chle
Subject: Re: Fwd: Re: Abstellen von multiplen Terminals
ja hallo erstmal,...
am Sonntag, 15. Februar 2004 20:08 schrieb Loom L�chle:
sein und die User sollen nur bestimmte Programme
benutzen k�nnen. Ich
hatte mir das so vorgestellt, dass ich den Client
�bers Netzwerk
booten lasse und gleich X startet.
Sinnlos. "evildoer" k�nnte Bootdiskette mitbringen, schon
hast du den
Salat.
Dann hat der Rechner eben kein Disketten laufwerk ; ) ganz so genau muss ich es nicht machen, das l�uft alles auf ner vm
Also, das ganze System soll in einer rein emulierten Umgebung laufen? Kann Schule so weltfremd sein?
Was ich mit dem Beispiel Diskettenlauffwerk erw�hnen wollte,ist, dass sobald jemand physikalischen Zugriff zu einem PC hat, dieser kaum abzusichern ist.
Dann wollte ich KDE benutzen und das
Startmen� je nach Gruppe anpassen.
XDMCP oder was hattest du dir gedacht.
das wei� ich nicht, da frag ich grad im kde forum nach : )
aber danke f�r
den tipp werd ich mir mal angucken
Die werden dich woanders hin verweisen. Das ist eine Technik, beider man u.a. den ganzen Desktop �ber das Netz verschickt.
Um zu verhindern das die Benutzer �ber
ne shell, also nen term oder alt+f1 programme direkt
starten k�nnen,
wollte ich das halt abstellen. Wie sieht es denn aus
wenn ich den
Usern keine shell gebe? also /sbin/nologin? kann sich
der User dann
noch im X anmelden? Nein... ist ja quatsch, die shell
ist ja nen
befehlsinterpreter...
Und soll bei einer nichter-Terminalserverl�sung
verhindert werden, dass
$user eine Shell in einem X-Fenster startet? Wenn du xdmcp nutzt, sind deine Probleme zu Ende. Aber mal ernsthaft: Wenn du X und Konsolen auf einem Server
hast,
was soll "evildoer" unter X nicht k�nnen, was er auf der
Konsole kann?
ich will es mir ja relativ einfach machen, wenn ich nur die
m�glichkeit
gebe programme zu benutzen die im kde men� freigegeben
sind, brauch ich
nicht auf zugriffsebene die programme einzeln freigeben
oder sch�tzen.
Jetzt wird es Konfus. Wie willst du DAS anstellen? Dr�ck bei einem aktuellem KDE (z.B. bei 3.1.4 - habe ich hier) STRP+T im Konqueror.
wenn
der benutzer ne shell hat kann er alles m�gliche machen,
wenn er nur nen
schreibprogramm hat und nur sachen auf seinem ~ speichern
kann dann ist das
was anderes, als wenn er auf ner shell versucht irgendwelche sicherheitsl�cken auszunutzen.
Puh.
Also, let's get things straight:
Du kannst NICHT die Ausf�hrbaren Programme mit dem KDE beschr�nken.
Die EINZIGE M�glichkeit zu verhindern, dass ein Benutzer nicht ein Programm auszuf�hren, obwohl er daf�r Rechte hat ist das Programm zu l�schen.
Die EINZIGE M�glichkeit, einem Benutzer die Rechte zu entziehen beliebiges Programm ausf�hren ist ihm, und sonst kolllateralschaden-Opfern die Rechte zum Ausf�hren zu entziehen.
Selbst der KDM kann ich bei mir eine Shell starten.
Was du allenfalls Probieren k�nntest. w�re eine GUI in Java zu schreiben, die ANSTELLE eines Window-Managers zu laden. und diese so zu beschr�nken, dass der Benutzer KEINERLEI Zugriff auf das System hat. Aus einer JavaVM auszubrechen ist SEHR schwer, siehst du an Applets.
Die EINZIGE M�glichkeit die ich kenne, zu verhindern, dass "nicht gew�nschte" Programme ausf�hre ist der Fritz-chip.
Bitte sehe ein, das Linux nicht Windows ist und das graphische System nur ein Aufbau auf die Shell ist.
Du denkst wie ein Windows-User.
Btw. Mir ist kein Windows-Ansatz f�r das Problem bekannt, der sich nicht umgehen l�sst.
Keep smiling yanosz
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
