user soll nur Firefox ausführen können
user soll nur Firefox ausführen können
Hallo,
ich habe einen alten Dell inspiron 1525 Laptop.
Auf dem läuft debian 8 mit backports, Kernel 4.7.0.0 bpo1.
und ich habe einen user "test01" anlegelegt, der nur Firefox auführen kann.
Das hat mit openbox und obmenu soweit auch geklappt und ist ok.
Fiefox wird mit "firejail firefox" gestartet.
Mit #ckmod 700 /home/test01 sind weitere Rechte eingeschrängt.
1. Nun möchte ich auch noch den user test01 soweit einschränken das er mit strg+F1 bis F6 keine Konsolensitung aufmachen kann.
Das wollte ich in den /etc/security/access.conf Einstellungen bewerkstelligen:
# Disallow non-root logins on tty1
# ich will root nur auf tty2 zulassen
-:ALL EXCEPT root:tty2
das klappt aber nicht.
Hab ich irgend was übersehen/vergessen?
2. Den Versuch Firefox daran zur hindern in /etc usw. zu schnüffeln hab ich aufgegeben, da das Thema in den ubuntuuser forum schon diskutiert wurde.
Oder kennt jemand doch noch eine Lösung?
ich habe einen alten Dell inspiron 1525 Laptop.
Auf dem läuft debian 8 mit backports, Kernel 4.7.0.0 bpo1.
und ich habe einen user "test01" anlegelegt, der nur Firefox auführen kann.
Das hat mit openbox und obmenu soweit auch geklappt und ist ok.
Fiefox wird mit "firejail firefox" gestartet.
Mit #ckmod 700 /home/test01 sind weitere Rechte eingeschrängt.
1. Nun möchte ich auch noch den user test01 soweit einschränken das er mit strg+F1 bis F6 keine Konsolensitung aufmachen kann.
Das wollte ich in den /etc/security/access.conf Einstellungen bewerkstelligen:
# Disallow non-root logins on tty1
# ich will root nur auf tty2 zulassen
-:ALL EXCEPT root:tty2
das klappt aber nicht.
Hab ich irgend was übersehen/vergessen?
2. Den Versuch Firefox daran zur hindern in /etc usw. zu schnüffeln hab ich aufgegeben, da das Thema in den ubuntuuser forum schon diskutiert wurde.
Oder kennt jemand doch noch eine Lösung?
Re: user soll nur Firefox ausführen können
Im firefox firejail profile folgendes eingeben:
Ich weiß aber nicht ob der firefox dann noch ordentlich funktioniert, da die ca-certificates wohl unter /etc abgelegt sind.
Code: Alles auswählen
private-etc empty
Ich weiß aber nicht ob der firefox dann noch ordentlich funktioniert, da die ca-certificates wohl unter /etc abgelegt sind.
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc
http://files.mdosch.de/2014-07/0xE13D657D.asc
Re: user soll nur Firefox ausführen können
@Dogge
Wichtiger ist jedoch das der user test01 sich nicht auf die Konsolen über strg+alt+F1 bis F6 anmelden kann.
Hast Du da eine Ide?
werde ich ausprobieren.Dogge hat geschrieben:Im firefox firejail profile folgendes eingeben:Code: Alles auswählen
private-etc empty
Ich weiß aber nicht ob der firefox dann noch ordentlich funktioniert, da die ca-certificates wohl unter /etc abgelegt sind.
Wichtiger ist jedoch das der user test01 sich nicht auf die Konsolen über strg+alt+F1 bis F6 anmelden kann.
Hast Du da eine Ide?
Re: user soll nur Firefox ausführen können
Das geht mit der Option DontVTSwitch in der xorg.conf.
Siehe hier.
Siehe hier.
Re: user soll nur Firefox ausführen können
Ja, das klappt
eintragen.
Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.
da standardmäßig noch keine xorg.conf unter /etc/X11 existiert diese mit root anlegen undTintom hat geschrieben:Das geht mit der Option DontVTSwitch in der xorg.conf.
Siehe hier.
Code: Alles auswählen
Section "ServerFlags"
Option "DontVTSwitch" "true"
EndSection
Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.
Re: user soll nur Firefox ausführen können
Das kannst du ihm doch so in die Konfiguration des von dir genutzten Displaymanagers festschreiben?Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.
OT: wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen
Re: user soll nur Firefox ausführen können
niemand hat geschrieben:Das kannst du ihm doch so in die Konfiguration des von dir genutzten Displaymanagers festschreiben?Der absolute Knaller wäre noch das beim Anmelden der user test01 nach dem Anmelden nur openbox nutzen kann und nicht, z.B. bei mehreren windowmanagern, lxde auswählen kann.
OT: wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen
@ niemand
Natürlich hast Du recht dass wir Linuxer so einen Rechner verpönen würden.
In disem Fall jedoch sollen verschiedene Pesonen ohne PC-Vorkentnisse die Möglichkeit haben, einfach nur einen freien Zugang zum Internet zu nutzen.
Die einzige Bedingung ist das Anmelden als eigener user mit passwd.
Fall jemand sonst am PC rumspielt und den Rechner versehentich vermurxelt, ist keiner da der das wieder in Ordnung bringen kann.
Über eine Bandbreiteneinschränkung und Fernwartung mit ssh-Zugang denke ich zur Zeit noch nach.
Re: user soll nur Firefox ausführen können
Aus meinem ehemaligen Betrieb kenne ich auch solche Systeme, die überall verteilt im Betrieb eingerichtet waren. Das waren innen normale Win-XP-PCs mit LCD-Farbmonitor, aber aussen waren es eingelassene spitzwasser-geschütze Edelstahltastaturen mit integriertem Mouse-Ball, der Monitor befand sich ebenfalls hinter Glas. Das ganze war quasi so eine wettergeschützte integrierte Info-Säule, die auch mal nen Feuerwehrschlauch aushalten musste und an denen gewerbliche Mitarbeiter in Arbeitszeug und ggf. auch mit schmutzigen Fingern (ggf. mit Öl- oder Fetten) sich im Intranet bewegen konnten. Die Kollegen haben da ihre Arbeitszeitdaten eingesehen, Aufträge oder Mitteilungen ihres Vorgesetzen erhalten, betriebliche Daten wie z.B. "Fortschrittsdaten" ihrer Abteilung angesehen, Benachrichtigungen aus dem Personalwesen erhalten, usw., usw. Diese Kisten waren quasi auch so eingestellt, dass man damit nichts anderes außer dem Browser starten konnte.niemand hat geschrieben:wenn jemand von mir erwarten würde, an einem derart vernagelten Rechner zu arbeiten, würde ich mit dem Zeigefinger an die Stirn tippen und den Ort des Geschehens verlassen
Anfangs hatte ich auch wie Du gedacht und den Kopf darüber geschüttelt.... aber dann habe ich mich erinnert.... manchmal kann das also wirklich sinnvoll sein.
Re: user soll nur Firefox ausführen können
Ich schrieb ja auch, dass ich das so machen würde. Natürlich ist's mir bewusst, dass es da legitime Einsatzszenarien geben mag, wenngleich ich bei dem Beispiel mit den gewerblichen Terminals nicht von „damit arbeiten“ sprechen würde. Da würde ich auch den Aufwand nicht treiben, sondern das Programm im Kiosk-Mode laufen lassen und gut.
Re: user soll nur Firefox ausführen können
Gibt es für so etwas nicht den Kiosk-Mode? Ich denke da an so etwas: http://porteus-kiosk.org/
http://www.omgubuntu.co.uk/2014/07/create-ubuntu-kiosk
http://www.omgubuntu.co.uk/2014/07/create-ubuntu-kiosk