Neuen Gast-User im Kiosk-Modus einrichten

[frankieboy]

Hallo Forum,

ich möchte Folgendes: Wie wohl jeder von euch bekomme ich hin und wieder mal Besuch verschiedener Personen (Verwandtschaft, Freunde etc.) Als guter Gastgeber möchte ich diesem auch einen Internetzugang anbieten und das auch unter Sicherheitsaspekten "ordentlich" machen.

Mein Gedanke ist jetzt, einen User "gast" mit Passwort "gast" einzurichten und eigentlich nichts anderes als einen Internet-Browser zur Verfügung zu stellen. Mein lieber Gast soll in seinem Home-Verzeichnis gefangen gehalten werden, an den Einstellungen nicht drehen können und nach dem Logout soll der Zugang für den nächsten Gast wieder in den Ursprungszugang versetzt werden (Automatisches Löschen von Cookies und Browserhistorie etc.).

Dafür wäre doch ein Zugang im Kiosk-Modus optimal, oder? Wenn das so ist, wie richte ich das dann unter XFCE für "gast" ein?

Ich freue mich aber auch über Alternativ-Vorschlläge.

VG

Frankie

[uname]

Vielleicht ein HOME unter /tmp. Oder starte ihm dann doch ein Vollbild-Browser. Lang ist es her und nie genutzt. viewtopic.php?t=129612

Ob Xfce es auch selbst kann, weiß ich nicht. Vielleicht ist xinit und startx auch nicht mehr zeitgemäß.

[joka63]

Die allermeisten Gäste, die ich kenne, haben ein Smartphone und/oder Tablet. Die sind dann nur an dem WLAN-Passwort interessiert.

Nichtsdestotrotz habe ich auch eine Gast-Kennung für den GNOME-Desktop eingerichtet: mit dem Tool pam_mount (Paket libpam-mount), kann man eine Kennung so konfigurieren, dass beim Login ein temporäres tmpfs-Homeverzeichnis gemountet wird, so dass beim Logout alle gesammelten Daten und Spuren wieder verschwinden, da die gar nicht erst auf Festplatte gespeichert werden. (pam-mount ist unabhängig vom Desktop)

XFCE unterstützt einen Kiosk-Modus: https://wiki.xfce.org/howto/kiosk_mode mit dem man das Panel gestalten und locken kann. Siehe auch https://wiki.ubuntuusers.de/Archiv/Xfce_Kiosk-Modus/

[uname]

@joka63
Magst du deine Konfiguration hier oder posten. Ich denke, daran könnten einige interessiert sein.

[joka63]

@joka63
Magst du deine Konfiguration hier oder posten. Ich denke, daran könnten einige interessiert sein.

Gerne. Ich hatte meine Konfiguration in meinem TiddlyWiki-Notizbuch vor längerer Zeit aufgeschrieben:


Voraussetzung ist die Installation der Pakete libpam-mount und libpam-mount-bin.

Gastkennung in GNOME Einstellungen (oder einem Admin-Tool eigener Wahl) anlegen:

• Name: Gast # Egal
• Id: aguest
• Home: /var/home/aguest

Ich habe die Id aguest gewählt, um Überschneidungen mit einer Standard-Gastkennung guest zu vermeiden. "a" steht für amnesic home.

Homeverzeichnis als temporäres Verzeichnis (tmpfs) im RAM mounten

Dann folgende Zeile in /etc/security/pam_mount.conf.xml eintragen:

Code: Alles auswählen

<volume user="aguest" mountpoint="/home/aguest" path="tmpfs" fstype="tmpfs" options="uid=aguest,gid=aguest,mode=750,size=2G" />

Wichtig ist noch, das Tag <logout> so zu ändern, dass alle Prozesse nach einer kurzen Wartezeit gekillt werden, um das temporäre Verzeichnis und den damit belegten Hauptspeicher freizugeben:

Code: Alles auswählen

<logout wait="5000" hup="yes" term="yes" kill="yes" />

Siehe auch die ziemlich ausführliche Manpage pam_mount.conf.

Optional: Sicherstellen, dass sich "Gast" nur einmal einloggen darf und dass seine Sitzung nach Logout gekillt wird:

Code: Alles auswählen

echo "aguest:exclusive" >> /etc/security/sepermit.conf

Diesen Schritt habe ich nur in Fedora durchgeführt, nicht in Debian

Passwortloses Login für Gast-Kennung

Folgende Zeile an den Anfang von /etc/pam.d/gdm-password einfügen:

Code: Alles auswählen

auth sufficient pam_succeed_if.so user ingroup aguest

Die ersten 5 Zeilen dieser Datei sehen dann bei mir so aus:

Code: Alles auswählen

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_succeed_if.so user != root quiet_success
auth    sufficient      pam_succeed_if.so user ingroup aguest
@include common-auth

Falls man einen anderen Login-Manager wie z.B. lightdm verwendet, dann die entsprechende *-password Datei anpassen.
Siehe auch Manpage von pam_mount

GDM-Session initialisieren

Dieser Abschnitt ist nur für den GNOME-Desktop relevant.
Für XFCE der Anleitung im Ubuntu- bzw. XFCE-Wiki folgen: https://wiki.xfce.org/howto/kiosk_mode und https://wiki.ubuntuusers.de/Archiv/Xfce_Kiosk-Modus/

Nach dem Einloggen sollte GNOME nicht jedes mal die Tour starten. Auch sollten automatische Downloads deaktiviert werden. Hierfür wird ein spezielles Autostart-Skript /usr/local/bin/aguest-init-session für das Gastverzeichnis bereitgestellt, z.B.:

Code: Alles auswählen

#!/bin/bash

if [ "$(id -n -u)" != "aguest" ] ; then
  exit 1
fi

gsettings set org.gnome.shell welcome-dialog-last-shown-version '4294967295' 
gsettings set org.gnome.software first-run false
gsettings set org.gnome.software allow-updates false
gsettings set org.gnome.software download-updates false
gsettings set org.gnome.software download-updates-notify false
gsettings set org.gnome.software enable-repos-dialog false
gsettings set org.gnome.Terminal.Legacy.Settings theme-variant 'system'
gsettings set org.gnome.desktop.background picture-uri file:///usr/share/backgrounds/gnome/dune-l.svg
gsettings set org.gnome.desktop.background picture-uri-dark file:///usr/share/backgrounds/gnome/dune-d.svg
gsettings set org.gnome.desktop.interface color-scheme 'prefer-dark'

Farbschema und Hintergrundbild ist natürlich Geschmackssache. Ich möchte durch einen besonders auffälligen Hintergrund daran erinnert werden, dass ich in einer Gast-Kennung mit temporärem Homeverzeichnis eingeloggt bin.

Ein globaler User-Service sorgt dafür, dass das Skript nach dem Login und dem Mounten des tmpfs-Homeverzeichnisses aufgerufen wird. Das Autostart-Skript muss global und damit für alle Benutzer bereitgestellt weren. Deshalb beendet sich das aguest-init-session, wenn es nicht als User aguest aufgerufen wird. Der erste Eintrag ist ein Trick, damit die GNOME-Tour nicht bei jedem Login neu startet.

/etc/systemd/user/aguest.init-session.service:

Code: Alles auswählen

[Service]
Type=oneshot
RemainAfterExit=true
StandardOutput=journal
ExecStart=/usr/local/bin/aguest-init-session
[Install]
WantedBy=default.target

Eingeschaltet wird der Service mit:

Code: Alles auswählen

systemctl enable --global aguest.init-session

Links
https://wiki.archlinux.org/title/GDM
https://bbs.archlinux.org/viewtopic.php?id=224912
https://bugzilla.redhat.com/show_bug.cgi?id=1928594 (Tipp um Start von gnome-tour zu verhindern)
https://superuser.com/questions/1037466 ... 58#1269158

[GregorS]

... Mein Gedanke ist jetzt, ...

Für das „ich guck' mal schnell“ haben die meisten Leute ein Smartphone dabei. Und wenn sie unbedingt Dein WLAN benutzen möchten/müssen, genügt der betreffende Schlüssel. Auch auf den zweiten Blick scheint das eine Schnapsidee zu sein. Kauf' lieber eine Tüte Chips

Gruß

Gregor

[Huo]

Mein lieber Gast soll in seinem Home-Verzeichnis gefangen gehalten werden, an den Einstellungen nicht drehen können und nach dem Logout soll der Zugang für den nächsten Gast wieder in den Ursprungszugang versetzt werden (Automatisches Löschen von Cookies und Browserhistorie etc.).

Meinen *wirklich* lieben Gästen vertraue ich so weit, dass ich sie unter meinem eigenen Benutzer ins Internet lasse. Für weniger liebe boote ich ein USB-Live-System (MX Linux), von dem der Zugriff auf die Festplatte passwortgeschützt ist.