user soll nur Firefox ausführen können

[hoppla]

Hallo,

ich habe einen alten Dell inspiron 1525 Laptop.
Auf dem läuft debian 8 mit backports, Kernel 4.7.0.0 bpo1.
und ich habe einen user "test01" anlegelegt, der nur Firefox auführen kann.
Das hat mit openbox und obmenu soweit auch geklappt und ist ok.
Fiefox wird mit "firejail firefox" gestartet.
Mit #ckmod 700 /home/test01 sind weitere Rechte eingeschrängt.

1. Nun möchte ich auch noch den user test01 soweit einschränken das er mit strg+F1 bis F6 keine Konsolensitung aufmachen kann.
Das wollte ich in den /etc/security/access.conf Einstellungen bewerkstelligen:

# Disallow non-root logins on tty1
# ich will root nur auf tty2 zulassen
-:ALL EXCEPT root:tty2

das klappt aber nicht.
Hab ich irgend was übersehen/vergessen?


2. Den Versuch Firefox daran zur hindern in /etc usw. zu schnüffeln hab ich aufgegeben, da das Thema in den ubuntuuser forum schon diskutiert wurde.
Oder kennt jemand doch noch eine Lösung?

[Dogge]

Im firefox firejail profile folgendes eingeben:

Code: Alles auswählen

private-etc empty

Ich weiß aber nicht ob der firefox dann noch ordentlich funktioniert, da die ca-certificates wohl unter /etc abgelegt sind.

[hoppla]

@Dogge

Im firefox firejail profile folgendes eingeben:

Code: Alles auswählen

private-etc empty

Ich weiß aber nicht ob der firefox dann noch ordentlich funktioniert, da die ca-certificates wohl unter /etc abgelegt sind.

werde ich ausprobieren.

Wichtiger ist jedoch das der user test01 sich nicht auf die Konsolen über strg+alt+F1 bis F6 anmelden kann.
Hast Du da eine Ide?

[Tintom]

Das geht mit der Option DontVTSwitch in der xorg.conf.
Siehe hier.

[hoppla]

Ja, das klappt

Das geht mit der Option DontVTSwitch in der xorg.conf.
Siehe hier.

da standardmäßig noch keine xorg.conf unter /etc/X11 existiert diese mit root anlegen und

Code: Alles auswählen

Section "ServerFlags"
Option "DontVTSwitch" "true"
EndSection

eintragen.


Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.

[DeletedUserReAsG]

Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.

Das kannst du ihm doch so in die Konfiguration des von dir genutzten Displaymanagers festschreiben?

OT: wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen

[hoppla]

Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.

Das kannst du ihm doch so in die Konfiguration des von dir genutzten Displaymanagers festschreiben?

OT: wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen

@ niemand

Natürlich hast Du recht dass wir Linuxer so einen Rechner verpönen würden.

In disem Fall jedoch sollen verschiedene Pesonen ohne PC-Vorkentnisse die Möglichkeit haben, einfach nur einen freien Zugang zum Internet zu nutzen.
Die einzige Bedingung ist das Anmelden als eigener user mit passwd.
Fall jemand sonst am PC rumspielt und den Rechner versehentich vermurxelt, ist keiner da der das wieder in Ordnung bringen kann.

Über eine Bandbreiteneinschränkung und Fernwartung mit ssh-Zugang denke ich zur Zeit noch nach.

[TomL]

wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen

Aus meinem ehemaligen Betrieb kenne ich auch solche Systeme, die überall verteilt im Betrieb eingerichtet waren. Das waren innen normale Win-XP-PCs mit LCD-Farbmonitor, aber aussen waren es eingelassene spitzwasser-geschütze Edelstahltastaturen mit integriertem Mouse-Ball, der Monitor befand sich ebenfalls hinter Glas. Das ganze war quasi so eine wettergeschützte integrierte Info-Säule, die auch mal nen Feuerwehrschlauch aushalten musste und an denen gewerbliche Mitarbeiter in Arbeitszeug und ggf. auch mit schmutzigen Fingern (ggf. mit Öl- oder Fetten) sich im Intranet bewegen konnten. Die Kollegen haben da ihre Arbeitszeitdaten eingesehen, Aufträge oder Mitteilungen ihres Vorgesetzen erhalten, betriebliche Daten wie z.B. "Fortschrittsdaten" ihrer Abteilung angesehen, Benachrichtigungen aus dem Personalwesen erhalten, usw., usw. Diese Kisten waren quasi auch so eingestellt, dass man damit nichts anderes außer dem Browser starten konnte.

Anfangs hatte ich auch wie Du gedacht und den Kopf darüber geschüttelt.... aber dann habe ich mich erinnert.... manchmal kann das also wirklich sinnvoll sein.

[DeletedUserReAsG]

Ich schrieb ja auch, dass ich das so machen würde. Natürlich ist's mir bewusst, dass es da legitime Einsatzszenarien geben mag, wenngleich ich bei dem Beispiel mit den gewerblichen Terminals nicht von „damit arbeiten“ sprechen würde. Da würde ich auch den Aufwand nicht treiben, sondern das Programm im Kiosk-Mode laufen lassen und gut.

[debianoli]

Gibt es für so etwas nicht den Kiosk-Mode? Ich denke da an so etwas: http://porteus-kiosk.org/

http://www.omgubuntu.co.uk/2014/07/create-ubuntu-kiosk