Hallo, ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren. Das Problem ist, dass der Router ein 0-8-15 Router der Telekom ist und nur das genaue Gegenteil erlaubt, also bestimmte URLs zu sperren. Gleichzeitig möchte ich verhindern, dass ein unbefugter Benutzer dieses PCs diese Sperre umgeht. Der User hat keine root-Rechte. Ich habe hier verschiedene Lösungsansätze: 1.) Auf dem betreffenden PC den NSCD entsprechend manipulieren, so dass alle URLs über den nscd umgebogen werden. Problem: das ist so nirgendwo dokumentiert und eher experimentell... 2.) Auf dem betreffenden PC einen Proxy mit URL-Filterung (squidguard oder so) installieren und im Firefox und Konquerer den Proxy fest verdrahten. Die Frage ist, wie kann ich dann verhindern, dass der User selbst die Proxy-Einstellungen verändert? Möglicherweise geht das ja über entsprechende Rechte des Config-Files. Man könnte dem User nur Leserechte auf das Config-File geben. Nur weiss ich nicht, ob das nicht evtl. irgendwelche anderen Auswirkungen auf diese zwei Browser hat. Hmmmm.... sonst noch Ideen von Euch? -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Welcher Webserver, apache? Michael Herrmann schrieb:
Hallo,
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
bei apache ist es mit einer directory directive machbar <Directory /var/www/Anwendung> Order allow,deny allow from x.x.x.x </Directory> Gruss Reimar
Das Problem ist, dass der Router ein 0-8-15 Router der Telekom ist und nur das genaue Gegenteil erlaubt, also bestimmte URLs zu sperren. Gleichzeitig möchte ich verhindern, dass ein unbefugter Benutzer dieses PCs diese Sperre umgeht.
Der User hat keine root-Rechte.
Ich habe hier verschiedene Lösungsansätze: 1.) Auf dem betreffenden PC den NSCD entsprechend manipulieren, so dass alle URLs über den nscd umgebogen werden. Problem: das ist so nirgendwo dokumentiert und eher experimentell...
2.) Auf dem betreffenden PC einen Proxy mit URL-Filterung (squidguard oder so) installieren und im Firefox und Konquerer den Proxy fest verdrahten. Die Frage ist, wie kann ich dann verhindern, dass der User selbst die Proxy-Einstellungen verändert? Möglicherweise geht das ja über entsprechende Rechte des Config-Files. Man könnte dem User nur Leserechte auf das Config-File geben. Nur weiss ich nicht, ob das nicht evtl. irgendwelche anderen Auswirkungen auf diese zwei Browser hat.
Hmmmm.... sonst noch Ideen von Euch?
-- Reimar Bauer Institut fuer Stratosphaerische Chemie (ICG-1) Forschungszentrum Juelich email: R.Bauer@fz-juelich.de ------------------------------------------------------------------- ------------------------------------------------------------------- Forschungszentrum Jülich GmbH 52425 Jülich Sitz der Gesellschaft: Jülich Eingetragen im Handelsregister des Amtsgerichts Düren Nr. HR B 3498 Vorsitzende des Aufsichtsrats: MinDir'in Bärbel Brumme-Bothe Geschäftsführung: Prof. Dr. Achim Bachem (Vorsitzender), Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr. Harald Bolt, Dr. Sebastian M. Schmidt ------------------------------------------------------------------- ------------------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Donnerstag, 20. November 2008 16:35 schrieb Reimar Bauer:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
Welcher Webserver, apache?
Ähem, nein. Ich wollte sagen, das ist ein "normaler" Desktop-PC, der bei uns im Kunden-Bereich steht, und auf dem Kunden über unsere Web-Applikation Dinge nachschlagen können. Ich möchte aber vermeiden, dass sich z.B. Jugendliche stundenlang an diesen PC setzen und youtube-Videos schauen, irgendwelche Online-Spiele machen oder im schlimmsten Fall sogar auf irgendwelche Porno- oder Warez-Seiten gehen. Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann. -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thursday 20 November 2008 16:40:47 Michael Herrmann wrote:
Am Donnerstag, 20. November 2008 16:35 schrieb Reimar Bauer:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann.
Was spricht gegen einen transparenten Proxy? Den Squid solltest Du dann entsprechend konfigurieren können, dass nur bestimmte Adressbereiche erlaubt sind. So können die User auch ruhig mit den Proxyeinstellungen im FF rumspielen. MfG Marco -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann wrote:
Hallo,
Am Donnerstag, 20. November 2008 16:35 schrieb Reimar Bauer:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
Welcher Webserver, apache?
Ähem, nein. Ich wollte sagen, das ist ein "normaler" Desktop-PC, der bei uns im Kunden-Bereich steht, und auf dem Kunden über unsere Web-Applikation Dinge nachschlagen können. Ich möchte aber vermeiden, dass sich z.B. Jugendliche stundenlang an diesen PC setzen und youtube-Videos schauen, irgendwelche Online-Spiele machen oder im schlimmsten Fall sogar auf irgendwelche Porno- oder Warez-Seiten gehen.
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann.
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls... -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Sandy Drobic meinte am Donnerstag, den 20.11.2008 um 18:30 Uhr wegen:URLs gezielt freigeben
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls...
selbst wenn man ping verbieten würde, hätten die Kids sowas bald raus, halt über über externe Rechner. Schau mal hier rein, das könnte helfen: http://arktur.schul-netz.de/wiki/index.php/Administratorhandbuch:Squid -- Beste Grüße Christian Schade, dass XMMS gerade nichts spielt :( The Bat! 4.0.34.6 unter SuSE 11.0 und Wine 1.1.7 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann wrote:
Hallo,
Am Donnerstag, 20. November 2008 16:35 schrieb Reimar Bauer:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
Welcher Webserver, apache?
Ähem, nein. Ich wollte sagen, das ist ein "normaler" Desktop-PC, der bei uns im Kunden-Bereich steht, und auf dem Kunden über unsere Web-Applikation Dinge nachschlagen können. Ich möchte aber vermeiden, dass sich z.B. Jugendliche stundenlang an diesen PC setzen und youtube-Videos schauen, irgendwelche Online-Spiele machen oder im schlimmsten Fall sogar auf irgendwelche Porno- oder Warez-Seiten gehen.
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann.
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls...
Vielleicht noch einfacher: NUR den eigenen Webserver in /etc/hosts, nur files in /etc/resolv.conf, und evtl. noch per iptables dafür sorgen, dass ausser der Verbindung zu diesem Webserver und vielleicht zu einem ntp Server nichts mehr geht.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Donnerstag, 20. November 2008 21:56 schrieb hamann.w@t-online.de:
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann.
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls...
Vielleicht noch einfacher: NUR den eigenen Webserver in /etc/hosts, nur files in /etc/resolv.conf, und evtl. noch per iptables dafür sorgen, dass ausser der Verbindung zu diesem Webserver und vielleicht zu einem ntp Server nichts mehr geht.
Nur files in /etc/resolv.conf? Da steht ja momentan nameserver 192.168.0.1 (IP des Routers). Das müsste ich dann wohl auf localhost ändern, also 127.0.0.1 oder eventuell komplett auskommentieren? Dann nimmt er in jedem Fall die /etc/hosts her, dort kann ich die IPs der erlaubten Seiten hinterlegen, klingt gut. Nur das iptables-Thema ist nicht ganz meins. Hast Du da eventuell ein gutes (einfaches) Tutorial? -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann schrieb:
Hallo,
Am Donnerstag, 20. November 2008 21:56 schrieb hamann.w@t-online.de:
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann. Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls... Vielleicht noch einfacher: NUR den eigenen Webserver in /etc/hosts, nur files in /etc/resolv.conf, und evtl. noch per iptables dafür sorgen, dass ausser der Verbindung zu diesem Webserver und vielleicht zu einem ntp Server nichts mehr geht.
Nur files in /etc/resolv.conf? Da steht ja momentan nameserver 192.168.0.1 (IP des Routers).
Das müsste ich dann wohl auf localhost ändern, also 127.0.0.1 oder eventuell komplett auskommentieren?
zum Beispiel...
Dann nimmt er in jedem Fall die /etc/hosts her, dort kann ich die IPs der erlaubten Seiten hinterlegen, klingt gut.
dann bist du also bei allen IP-Nummern-Änderungen gefragt...
Nur das iptables-Thema ist nicht ganz meins. Hast Du da eventuell ein gutes (einfaches) Tutorial?
einfach ? Sonderwünsche also auch noch... ;-) wobei ... wichtig wäre eigentlich nur: Standard = DENY (oder REJECT..) und dann einzeln ..... -d destination allow Ich benutze die SuSE-Firewall nicht.. und mache mir davor mein eigenes Script würde aber be"nicht mein Thema" den Squid vorziehen...ein Firewall (sauber) zu konfigurieren und zu testen ist nicht ganz ohne.. Fred
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 20. November 2008 21:56 schrieb hamann.w@t-online.de:
> Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox > oder Konquerer andere URLs als unseren hauseigenen (aber im Internet > stehenden) Webserver aufrufen kann. Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem Rechner einen DNS-Server in /etc/resolv.conf einzufügen, der nur die internen gewünschten Adressen auflösen kann. Ich bezweifle, dass deine Kiddies die IP-Adressen der Pornowebserver kennen. Hoffe ich jedenfalls... Vielleicht noch einfacher: NUR den eigenen Webserver in /etc/hosts, nur files in /etc/resolv.conf, und evtl. noch per iptables dafür sorgen, dass ausser der Verbindung zu diesem Webserver und vielleicht zu einem ntp Server nichts mehr geht.
Nur files in /etc/resolv.conf? Da steht ja momentan nameserver 192.168.0.1 (IP des Routers).
Das müsste ich dann wohl auf localhost ändern, also 127.0.0.1 oder eventuell komplett auskommentieren?
muss mich korrigieren - die Auswahl files / dns / sonstwas ist in /etc/nsswitch.conf
zum Beispiel...
Dann nimmt er in jedem Fall die /etc/hosts her, dort kann ich die IPs der erlaubten Seiten hinterlegen, klingt gut.
dann bist du also bei allen IP-Nummern-Änderungen gefragt...
Nur das iptables-Thema ist nicht ganz meins. Hast Du da eventuell ein gutes (einfaches) Tutorial?
für den Fall von genau einer erwünschten externen IP kann man auch die Defaultroute ins Internet durch eine Route über das Gateway der Firma zu genau dieser IP ersetzen - in /etc/sysconfig/network/routes
Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Fre, 21 Nov 2008, Michael Herrmann schrieb:
Am Donnerstag, 20. November 2008 21:56 schrieb hamann.w@t-online.de: [..]
Vielleicht noch einfacher: NUR den eigenen Webserver in /etc/hosts, nur files in /etc/resolv.conf, und evtl. noch per iptables dafür sorgen, dass ausser der Verbindung zu diesem Webserver und vielleicht zu einem ntp Server nichts mehr geht.
Nur files in /etc/resolv.conf?
Ich denke /etc/nsswitch.conf war gemeint... -dnh -- The only languages that can comfortably be written with the repertoire of US-ASCII happen to be Latin, Swahili, Hawaiian and American English without most typographic frills. It is rumoured that there are more languages in the world. -- Roman Czyborra -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Sandy Drobic meinte am Donnerstag, den 20.11.2008 um 18:30 Uhr wegen:URLs gezielt freigeben
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem
derzeit wird unsere Gemeinde- und Schulbibliothek mit einem Medienzentrum ausgestattet. Dazu gehören einige PC's mit Internetzugang. Was da an Softwareausstattung alles gewünscht wird. Hab eich noch nicht hinterfragt. Es wäre aber m.E. wünschenswert, eine gewisse Vielfalt anzubieten. Ich würde da gerne vorschlagen, auch einen PC mit Linux auszustatten. Besser wäre, wenn mit Live-CD/DVD/USB gearbeitet würde. Beim USB-Stick wäre da gleich eine Möglichkeit, Daten zu speichern. Den könnte man natürlich auch mittels CD/DVD verwenden. Die Möglichkeit einer normalen Live-CD/DVD schließe ich mal aus. Es müssten bestimmte Dinge, wie Anmeldung am Netzwerk/Router vorkonfiguriert werden. Das ganze auf die Hardware abgestimmt. Alle wichtigen Daten, einschl. eMail liegen dann auf dem Server. Weiterhin müssten die Rechte der User soweit eingeschränkt werden, dass sie an dem bestehenden Installationen keinen Schaden machen können. Reicht es da, wenn die Festplatten nicht eingebunden wurden und das root-Passwort sicher verwahrt wird? Gibt es da fertige Konzepte für die Konfiguration und Zusammenstellung der notwendigen Progs und Dienste? Ich meine nicht das eigentliche Erstellen des Image mit Kiwi. -- Beste Grüße Christian Schade, dass XMMS gerade nichts spielt :( The Bat! 4.0.34.6 unter SuSE 11.0 und Wine 1.1.7 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Christian Meseberg wrote:
Die Möglichkeit einer normalen Live-CD/DVD schließe ich mal aus. Es müssten bestimmte Dinge, wie Anmeldung am Netzwerk/Router vorkonfiguriert werden. Das ganze auf die Hardware abgestimmt. Alle wichtigen Daten, einschl. eMail liegen dann auf dem Server.
Knoppix LiveCD remastern. Klingt schwieriger als es ist. Anleitung hier: http://www.knoppix.net/wiki/Knoppix_Remastering_Howto Dann kannst Du alle Dienste und Software nach Bedarf anpassen, root Passwort ändern und den Look Eurem Design anpassen (Logos, etc.) Evtl. statt von der normalen Knoppix-CD auszugehen, kannst Du auch mit einer der stärker spezialisierten Knoppix-Varianten arbeiten: http://www.knoppix.net/wiki/Knoppix_Customizations Knoppix lässt sich mit dem eingebauten Terminalserver auch auf ggf. mehreren PCs per PXE booten. Das ist sehr praktisch und brauchst keine CD in die PCs zu legen, auf die die Benutzer Zugriff haben.
Weiterhin müssten die Rechte der User soweit eingeschränkt werden, dass sie an dem bestehenden Installationen keinen Schaden machen können. Reicht es da, wenn die Festplatten nicht eingebunden wurden und das root-Passwort sicher verwahrt wird?
Festplatten würde ich in jedem Fall ausbauen aus den betr. PC. Heutzutage laufen die meisten Leute ohnehin mit USB-Sticks rum, auf die sie ihre Daten ggf. abspeichern können. Da es sich um eine Bibliothek handelt, könnte man vielleicht USB-Sticks verleihen oder verkaufen für die Leute, die noch keinen haben. Kosten ja fast nix mehr. HTH, Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Joachim Marx meinte am Samstag, den 22.11.2008 um 14:49 Uhr wegen:Kiosk-Modus
Knoppix LiveCD remastern. Klingt schwieriger als es ist. Anleitung hier: http://www.knoppix.net/wiki/Knoppix_Remastering_Howto
Dann kannst Du alle Dienste und Software nach Bedarf anpassen, root Passwort ändern und den Look Eurem Design anpassen (Logos, etc.)
Evtl. statt von der normalen Knoppix-CD auszugehen, kannst Du auch mit einer der stärker spezialisierten Knoppix-Varianten arbeiten: http://www.knoppix.net/wiki/Knoppix_Customizations
Knoppix lässt sich mit dem eingebauten Terminalserver auch auf ggf. mehreren PCs per PXE booten. Das ist sehr praktisch und brauchst keine CD in die PCs zu legen, auf die die Benutzer Zugriff haben.
Festplatten würde ich in jedem Fall ausbauen aus den betr. PC. Heutzutage laufen die meisten Leute ohnehin mit USB-Sticks rum, auf die sie ihre Daten ggf. abspeichern können. Da es sich um eine Bibliothek handelt, könnte man vielleicht USB-Sticks verleihen oder verkaufen für die Leute, die noch keinen haben. Kosten ja fast nix mehr.
Danke für die Tips und die Links. Ich werde mich mal einlesen und dann Verbindung mit dem Fachplaner aufnehmen. schönes Wochenende =) -- Beste Grüße Christian Schade, dass XMMS gerade nichts spielt :( The Bat! 4.0.34.6 unter SuSE 11.0 und Wine 1.1.7 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, 22. November 2008 11:55:33 schrieb Christian Meseberg:
Hallo zusammen,
Sandy Drobic meinte am Donnerstag, den 20.11.2008 um 18:30 Uhr wegen:URLs gezielt freigeben
Praktisch so eine Art "Kiosk-Modus" also. Eine Möglichkeit wäre, auf dem
derzeit wird unsere Gemeinde- und Schulbibliothek mit einem Medienzentrum ausgestattet. Dazu gehören einige PC's mit Internetzugang. Was da an Softwareausstattung alles gewünscht wird. Hab eich noch nicht hinterfragt. Es wäre aber m.E. wünschenswert, eine gewisse Vielfalt anzubieten. Ich würde da gerne vorschlagen, auch einen PC mit Linux auszustatten. Besser wäre, wenn mit Live-CD/DVD/USB gearbeitet würde. Beim USB-Stick wäre da gleich eine Möglichkeit, Daten zu speichern. Den könnte man natürlich auch mittels CD/DVD verwenden.
PClinuxos soll recht gut einen Snapshot vom laufenden System machen
Die Möglichkeit einer normalen Live-CD/DVD schließe ich mal aus. Es müssten bestimmte Dinge, wie Anmeldung am Netzwerk/Router vorkonfiguriert werden. Das ganze auf die Hardware abgestimmt. Alle wichtigen Daten, einschl. eMail liegen dann auf dem Server.
Weiterhin müssten die Rechte der User soweit eingeschränkt werden, dass sie an dem bestehenden Installationen keinen Schaden machen können. Reicht es da, wenn die Festplatten nicht eingebunden wurden und das root-Passwort sicher verwahrt wird? Gibt es da fertige Konzepte für die Konfiguration und Zusammenstellung der notwendigen Progs und Dienste? Ich meine nicht das eigentliche Erstellen des Image mit Kiwi.
-- Beste Grüße Christian Schade, dass XMMS gerade nichts spielt :( The Bat! 4.0.34.6 unter SuSE 11.0 und Wine 1.1.7
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Daniel Fuhrmann meinte am Sonntag, den 23.11.2008 um 10:19 Uhr wegen:Kiosk-Modus (war: Re: URLs gezielt freigeben)
PClinuxos soll recht gut einen Snapshot vom laufenden System machen
Danke, aber ich schrieb:
der notwendigen Progs und Dienste? Ich meine nicht das eigentliche Erstellen des Image mit Kiwi.
Ich werde erstmal mit der Bibliothekarin und dem Fachplaner besprechen, ob so was ins Konzept passt und welche Standard-Software benötigt wird. Es geht mir dann ich um bestimmte Einschränkungen für die User, damit Dummheiten und gewisser Unfug unterbunden werden, ohne dass das System unnötig verstümmelt wird. ... schönen Sonntag noch ;) -- Beste Grüße Christian Gut, das XMMS gerade - Bachman Turner Overdrive - You ain't seen nothing yet spielt :music: The Bat! 4.0.34.6 unter SuSE 11.0 und Wine 1.1.7 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 20. November 2008 16:40:47 schrieb Michael Herrmann:
Hallo,
Am Donnerstag, 20. November 2008 16:35 schrieb Reimar Bauer:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren.
Welcher Webserver, apache?
Ähem, nein. Ich wollte sagen, das ist ein "normaler" Desktop-PC, der bei uns im Kunden-Bereich steht, und auf dem Kunden über unsere Web-Applikation Dinge nachschlagen können. Ich möchte aber vermeiden, dass sich z.B. Jugendliche stundenlang an diesen PC setzen und youtube-Videos schauen, irgendwelche Online-Spiele machen oder im schlimmsten Fall sogar auf irgendwelche Porno- oder Warez-Seiten gehen.
Also sprich: Ich will vermeiden, dass dieser eine PC über den Firefox oder Konquerer andere URLs als unseren hauseigenen (aber im Internet stehenden) Webserver aufrufen kann.
Blöde Frage, kannst du nicht euren Internetauftritt local auf den PC spiegeln und in bestimmten Zeiteabständen synchronisieren? Dann bräuchte der PC gar keinen Internetzugang, oder sind die Daten zu umfangreich?
-- Michael Herrmann
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann schrieb:
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren. Das Problem ist, dass der Router ein 0-8-15 Router der Telekom ist und nur das genaue Gegenteil erlaubt, also bestimmte URLs zu sperren. Gleichzeitig möchte ich verhindern, dass ein unbefugter Benutzer dieses PCs diese Sperre umgeht.
Der User hat keine root-Rechte.
Ich habe hier verschiedene Lösungsansätze: 1.) Auf dem betreffenden PC den NSCD entsprechend manipulieren, so dass alle URLs über den nscd umgebogen werden. Problem: das ist so nirgendwo dokumentiert und eher experimentell...
2.) Auf dem betreffenden PC einen Proxy mit URL-Filterung (squidguard oder so) installieren und im Firefox und Konquerer den Proxy fest verdrahten. Die Frage ist, wie kann ich dann verhindern, dass der User selbst die Proxy-Einstellungen verändert? Möglicherweise geht das ja über entsprechende Rechte des Config-Files. Man könnte dem User nur Leserechte auf das Config-File geben. Nur weiss ich nicht, ob das nicht evtl. irgendwelche anderen Auswirkungen auf diese zwei Browser hat.
Hmmmm.... sonst noch Ideen von Euch?
Squid als transparenten Proxy installieren. So merkt keiner, dass er via Proxy surft und Einstellungen für den Proxy sind auch nicht nötig. Die Einstellungen im Squid können ganz individuell erfolgen. Im Heft LinuxUser 10/2008 gab es einen interessanten Artikel dazu. HTH Grüße Mathias Klose -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann schrieb:
Hallo,
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren. Das Problem ist, dass der Router ein 0-8-15 Router der Telekom ist und nur das genaue Gegenteil erlaubt, also bestimmte URLs zu sperren. Gleichzeitig möchte ich verhindern, dass ein unbefugter Benutzer dieses PCs diese Sperre umgeht.
Der User hat keine root-Rechte.
Wenn es sauber sein soll hänge einen neuen PC ins Netz und lass darüber alles per Proxy/ Firewall regeln. Vorteil: Ist ausbaufähig und kann gegen neugierige User besser geschützt werden. Nachteil: Halt ein neuer PC im Netz. -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Michael Herrmann schrieb:
Hallo,
ich möchte auf einem Rechner in unserem Netzwerk nur einige wenige URLs gezielt freigeben, alle anderen sperren. Das Problem ist, dass der Router ein 0-8-15 Router der Telekom ist und nur das gnaue Gegenteil erlaubt, also bestimmte URLs zu sperren.
na ja .. oder einen (Linksys )openWRT Router dazu mit Proxy...
Gleichzeitig möchte ich verhindern, dass ein unbefugter Benutzer dieses PCs diese Sperre umgeht.
genau
2.) Auf dem betreffenden PC einen Proxy mit URL-Filterung (squidguard oder so) installieren und im Firefox und Konquerer den Proxy fest verdrahten. Die Frage ist, wie kann ich dann verhindern, dass der User selbst die Proxy-Einstellungen verändert?
ist doch egal ... outgoing Traffic nur auf dem Proxyport zulassen, incoming umleiten! transparenter Proxy eben... kann der User doch... er wird nie eine Antwort erhalten, weil incoming alles auf den Proxy geht!
Möglicherweise geht das ja über entsprechende Rechte des Config-Files. Man könnte dem User nur Leserechte auf das Config-File geben. Nur weiss ich nicht, ob das nicht evtl. irgendwelche anderen Auswirkungen auf diese zwei Browser hat.
wie jetzt Leserechte ? der User darf das eh nicht ! der Proxy darf .. aber den darf der User nicht konfigurieren!
Hmmmm.... sonst noch Ideen von Euch?
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (12)
-
Christian Meseberg -
Daniel Fuhrmann -
David Haller -
Fred Ockert -
hamann.w@t-online.de -
Joachim Marx -
Marco Roeben -
Mathias Klose -
Michael Herrmann -
Ralf Prengel -
Reimar Bauer -
Sandy Drobic