Rechtebeschränkung
Hallo, ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. Unter den Yast-Einstellungen habe ich nichts gesehen. Wie geht das? Gruß Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Johannes Reese schrieb:
Hallo,
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. Unter den Yast-Einstellungen habe ich nichts gesehen. Wie geht das?
zu wenig Informationen, um einen"ordentliche" Antwort zu geben. Rechte vergeben kannst du für Lesen/Schreiben/Ausführen. Internet (was auch immer das sein mag) kommt da nicht vor!
Gruß
Johannes
Grundsätzlich kannst du Usern keine Rechte geben, Programme aufzurufen (execute), normalerweise über Gruppenmitgliedschaften.. (Standard: nicht jeder darf alle Programme starten ...z.B. fdisk oder mkfs ...) Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. Unter den Yast-Einstellungen habe ich nichts gesehen. Wie geht das?
zu wenig Informationen, um einen"ordentliche" Antwort zu geben.
Rechte vergeben kannst du für Lesen/Schreiben/Ausführen.
Internet (was auch immer das sein mag) kommt da nicht vor!
Ich möchte halt, daß der Benutzer das Internet nicht nutzen kann und nicht drucken. Wenn er den Browser öffnet, soll sich keine Seite, die nicht lokal wäre, öffnen. Wenn er ein Dokument drucken will, soll der Drucker nicht anspringen. Internet mache ich mit der FritzBox, wenn das wichtig ist. Gruß Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 3. März 2010 schrieb Johannes Reese:
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. ... Ich möchte halt, daß der Benutzer das Internet nicht nutzen kann und nicht drucken. Wenn er den Browser öffnet, soll sich keine Seite, die nicht lokal wäre, öffnen. Wenn er ein Dokument drucken will, soll der Drucker nicht anspringen. Internet mache ich mit der FritzBox, wenn das wichtig ist. Du könntest (zumindest beim Firefox) einen entweder nicht existierenden oder lokalen Proxy eintragen, der dann nur lokale Zugriffe zuläßt. Die Konfigurationsdatei kannst Du ja dann entsprechend gegen Veränderung durch diesen User sperren. Manipulationen an der grundsätzlichen Netzwerkkonfiguration beim Login des jeweiligen Users würden voraussetzen, dass jeweils nur der eine User gleichzeitig eingelogt ist.
Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Johannes Reese schrieb:
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. Unter den Yast-Einstellungen habe ich nichts gesehen. Wie geht das?
zu wenig Informationen, um einen"ordentliche" Antwort zu geben.
Rechte vergeben kannst du für Lesen/Schreiben/Ausführen.
Internet (was auch immer das sein mag) kommt da nicht vor!
Ich möchte halt, daß der Benutzer das Internet nicht nutzen kann und nicht drucken. Wenn er den Browser öffnet, soll sich keine Seite, die nicht lokal wäre, öffnen. Wenn er ein Dokument drucken will, soll der Drucker nicht anspringen. Internet mache ich mit der FritzBox, wenn das wichtig ist.
dann eben nicht FritzBox sondern einen extra Proxy dazwischen, der einen Authentifizierung will (für alle).. Drucken .. sollte über Gruppenmanagement gehen. Trenne dich aber bitte von dem Gedanken, dass du dann noch ein "System von der Stange" hast. Vergiss auch ganz schnell Yast als alleiniges Werkzeug, anosnsten sollte das mit sorgfältiger Planung schon machbar sein Vielleicht (nur andgedacht) definierst du einen Drucker auf /dev/null und änderst du Druckerzuweisung über das Loginscript (braucht dann natürlich jeder Nutzer seines) falls der Rechner mal crasht... dann darf der eben drucken, nur eben auf /dev/NULL - das erspart evtl. Ärger.
Gruß
Johannes
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 3. März 2010 15:03 schrieb Fred Ockert
Drucken .. sollte über Gruppenmanagement gehen.
Exakt. Gruppe lp. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On Mar 3 15:36 Martin Schröder wrote (shortened):
Am 3. März 2010 15:03 schrieb Fred Ockert
: Drucken .. sollte über Gruppenmanagement gehen.
Exakt. Gruppe lp.
Unsinn. Gruss Johannes Meixner -- SUSE LINUX Products GmbH, Maxfeldstrasse 5, 90409 Nuernberg, Germany AG Nuernberg, HRB 16746, GF: Markus Rex
Am 3. März 2010 15:56 schrieb Johannes Meixner
Drucken .. sollte über Gruppenmanagement gehen.
Exakt. Gruppe lp.
Unsinn.
Also bei 10.3 gibt's die. Wozu? Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On Mar 3 16:02 Martin Schröder wrote (shortened):
Am 3. März 2010 15:56 schrieb Johannes Meixner
: Drucken .. sollte über Gruppenmanagement gehen.
Exakt. Gruppe lp.
Unsinn.
Also bei 10.3 gibt's die. Wozu?
Damit läßt der cupsd die Filter und das Backend laufen. Bzgl. "Filter" und "Backend" siehe http://en.opensuse.org/SDB:CUPS_in_a_Nutshell Damit wird sichergestellt, dass Filter (Druckertreiber) und Backend nicht als root laufen, was insbes. für Third-Party Druckertreibern vorsichtshalber gut ist, weil man da nicht so genau weiß, was die evtl. machen. Bei der Gelegenheit: In Google mal nach Samsung setuid Linux printer driver suchen. Gegen mit setuid-root installierte Binaries hilft natürlich ein switch-user nach "lp" leider auch nicht. Gruß Johannes Meixner -- SUSE LINUX Products GmbH, Maxfeldstrasse 5, 90409 Nuernberg, Germany AG Nuernberg, HRB 16746, GF: Markus Rex
Moin moin, zuerstmal wovon reden wir denn hier ?? Von einem einzelnen Rechner oder von einem Server + Clients ? Bei einem einzelnen Rechner würd ich einfach die Fritzbox als Modem konfigurieren und den entsprechenden User aus der Gruppe DialOut entfernen. Den Druckerzugriff kanns Du mit lpadmin regeln, optional via Webinterface.(127.0.0.1:631, Drucker Verwalten, erlaubte Benutzer hinzufügen, default=jeder) lg max Am 03.03.2010 12:16, schrieb Johannes Reese:
Hallo,
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem nicht ins Internet können und nicht drucken. Unter den Yast-Einstellungen habe ich nichts gesehen. Wie geht das?
Gruß
Johannes
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Markus Heinze schrieb:
Moin moin,
Bei einem einzelnen Rechner würd ich einfach die Fritzbox als Modem konfigurieren und den entsprechenden User aus der Gruppe DialOut entfernen.
Sorry, aber warum sollte man so einen Quatsch machen ?? Wozu hat denn die Fritzbox die Einstellungen für DSL ? *jemand der nicht versteht, wie man so ne altmodische Konfiguration nutzen wollen würde... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On Mar 3 12:16 Johannes Reese wrote (shortened):
ich möchte einen Benutzeraccount unter SuSE11.0 schaffen mit wenig Rechten: Er soll vor allem ... nicht drucken.
Als oberflächliche Lösung, siehe "man lpadmin": -------------------------------------------------------------- -u deny:user,user -------------------------------------------------------------- etwa lpadmin -p queue_name -u deny:john Das kann aber "john" leicht mit (siehe "man lp") john@host$ lp -d queue_name -U jane file_to_be_printed umgehen (vorausgesetzt "jane" darf drucken), denn dem cupsd kann jeder beliebige Benutzername vorgesetzt werden, weil der den vorgesetzten Namen ohne zusätzliche Authentisierung gar nicht verifizieren kann. Eine sichere Lösung benötigt daher zwingend Authentisierung beim cupsd (vergl. "man cancel") und siehe z.B. http://www.cups.org/documentation.php/doc-1.3/policies.html Damit müssen sich dann alle Benutzer für jeden Druckjob immer beim cupsd Authentisieren wodurch der cupsd immer verifizieren kann, von wem tatsächlich ein Druckjob kommt. Gruß Johannes Meixner -- SUSE LINUX Products GmbH, Maxfeldstrasse 5, 90409 Nuernberg, Germany AG Nuernberg, HRB 16746, GF: Markus Rex
participants (7)
-
Axel Birndt
-
Fred Ockert
-
Johannes Meixner
-
Johannes Reese
-
Markus Heinze
-
Martin Hofius
-
Martin Schröder