Kiosk PC unter Ubuntu
Eine sichere Surfstation für ein Internet-Kaffee oder einen öffentlichen Rechner mit Ubuntu zu erstellen, ist etwas sehr Einfaches und geht recht schnell. Mit dieser Maschine sollen Gäste das Internet per Browser nutzen können und dabei keine Möglichkeit finden, am System etwas zu verändern. Ich habe dazu Ubuntu 8.10 benutzt, ganz normal aufgesetzt, dann alle Updates gefahren und einen Desktop-Benutzter (zum Beispiel gast) erstellt. Weiter installierte ich sicherheitshalber den freien SSH-Server; man weiss ja nie:
sudo apt-get install openssh-server
Dann melde ich mich erst einmal als gast an und installiere eine Erweiterung für den Firefox, die den Browser in den “Kiosk-Modus” versetzt. Gute Erfahrungen habe ich mit Client Profile – Brooklyn Museum gemacht. Diese Erweiterung besteht aus zwei Dateien, mit denen der Firefox konfiguriert und für den “sicheren Surfbetrieb” optimiert werden kann.
Als nächster Schritt muss ich sicherstellen, dass bei dem Benutzer gast der Firefox beim Login sogleich startet und falls der Browser oder sogar der X-Server abraucht, sich Firefox gleich wieder startet. Dazu gibt es auf ubuntuusers.de eine gute Anleitung. Jene Zeilen liessen sich auch in die Datei .profile des Users gast eintragen. Dann startet beim Login der Firefox und alle andern Anwendungen bleiben dem Benutzer verwehrt. Allerdings habe ich es nicht hingekriegt, dass auf diesem Weg der Firefox im Vollbildmodus startet.
Deswegen nutze ich sie als Startdatei und lass sie automatisch beim Login starten. Als nächstes sind die Proxy-Einstellungen einzustellen (falls nötig) und dann ist eigentlich die Arbeit beim Benutzer gast abgeschlossen. Lediglich das obere Panel habe ich noch gelöscht und aus dem unteren alle Ikonen entfernt. Eventuell sollte man sich die Tastenkombinationen noch ansehen. Als erster Benutzer kann nun per gconf-editor das Kontextmenü für Gnome abschalten. Dazu ist dieser Schlüssel zu löschen:
/apps/nautilus/preferences/show_desktop
Als weitere Absicherung nutze ich noch das Paket pessuslus, mit dem die Benutzerrechte noch mehr eingeschränkt werden können. Man installiert es wie gewohnt per
sudo apt-get install pessulus
und ruft es dann im Terminal per pessuslus auf. Die Erklärungen sind selbstsprechend und die Einstellungen lassen sich per Maus konfigurieren. Damit lässt sich beispielsweise verhindern, dass die Benutzer ein Panel anlegen oder verändern können, oder mit [Alt] und [F2] eine Applikation starten können. Ausserdem kann damit verhindert werden, dass der User auf die Festplatte schreiben darf. Jetzt deaktiviere ich noch jene Dienste, die es nicht braucht und lasse den Benutzer gast beim Systemstart automatisch anmelden. Dort startet sich dann selbsttätig der Firefox im Kiosk-Modus und damit sind die softwareseitigen Einstellungen fertig.
Auf der Hardware-Seite würde ich das Booten ab einem externen Datenträger (USB, CD-Rom etc.) und am dem Netzwerk verhindern. Ausserdem könnte es sinnreich sein, das CD-Rom ganz abzuhängen. Das BIOS würde ich dazu noch mit einem Kennwort schützen.
Damit ist die Kiste fertig. Sollte nun eine Korrektur nötig sein, kann man sich per
ssh -X ErsterBenutzer@RechnerName
von einem andern Rechner aus auf dem System einloggen, pessulus aufrufen und sogleich wieder speichern. Dann sind die Einstellungen entfernt. Danach auf
sudo -s
umschalten und die die Datei im Ordner
/home/gast/.config/autostart
die den Firefox startet, etwa Firefox.desktop, löschen. Danach kann man das System neu starten und sich normal als Benutzer gast bewegen. Nach den Korrekturen muss das System natürlich wieder “verschraubt” werden.
Diese Konfiguration würde ich dort einsetzen, wo sich Besucher oder Gäste aufhalten und auf das Internet zugreifen wollen. Gänzlich unbeaufsichtigt würde ich aber eine solche Kiste nie lassen. Sonst bekäme sie womöglich noch Beine oder würde aufgeschraubt.
06. April 2009 um 08:36:23 Uhr
Coole Sache!
Eins würde ich aber noch machen: Grub sollte man noch vor Veränderungen schützen, sonst kann man da noch Angreifen!
MFG
MW
06. April 2009 um 09:02:18 Uhr
Danke, mw88! Stimmt, da ist noch ein Loch.
06. April 2009 um 12:08:04 Uhr
So hat man aber nur den Firefox gesichert, oder? Angenommen, man möchte auch noch OpenOffice erlauben, weil man einen öffentlichen Drucker installiert. Ist die Umsetzung nach deiner Anleitung auch gesichert? Ich kann ja zum Starten das Icon im Panel lassen oder dergleichen…
Ansonsten ist es doch auch schon relativ sicher, wenn man einfach nur ein starkes Passwort für den Benutzer wählt und dieses nicht weiter gibt.
06. April 2009 um 12:15:49 Uhr
Das würde so auch gehen. Aber – wie Du schon gesagt hast – muss die Ikone für das OpenOffice vorhanden sein und der FF darf nicht so stark per Erweiterung eingeschränkt sein. Denn ist “Client Profile – Brooklyn Museum” aktiviert, kann der Browser u. U. nicht mehr geschlossen oder minimiert, beziehungsweise in der Grösse verändert werden. Der Zugriff zum Desktop ist dann verwehrt.
Die Frage ist dann noch, ob Du das Speichern von Dokumenten zulassen willst.
Auf jeden Fall ist es möglich, Deine Ansprüche per Kiosk-PC zu erfüllen und dabei auf der “sicheren Seite” zu bleiben.
06. April 2009 um 12:16:16 Uhr
aah seit Spenneberg zu Dir gesagt hat Linux sei nicht per default sicher…..
mmh, ich glaub ich hätte das ganz anders gemacht. Ich hätte micht jetzt nicht für ein Standard-Ubuntu entschieden. Das schleppt eine Menge an Software mit die Du jetzt ja gar nicht benutzen läßt. Das ist ein alter Grundsatz KISS keep it small & simple.
06. April 2009 um 13:14:41 Uhr
Yep, stimmt, gnokii. Am besten nimmt man wirklich bloss jene Pakete, die es tatsächlich braucht.
Eine Standard-CD ist halt am einfachsten und geht am schnellsten.
06. April 2009 um 17:02:13 Uhr
Ich wollte fragen wie du das Firefox Addon instalien konntest, es ist doch nur bis FF 3.0.5
Gruß
Uli
06. April 2009 um 18:36:48 Uhr
Uli, Du solltest die einzelnen Plugins installieren, also jsLib und OpenKiosk, statt das kombinierte (Combined Install (broken on FF 3.0.0-3.0.5).
06. April 2009 um 23:19:29 Uhr
ssh -X ErsterBenutzer@RechnerName…
Ich kann damit den PC aus der Ferne nicht Neu starten, also nicht so ohne weiteres…
Was mache ich falsch?
06. April 2009 um 23:21:13 Uhr
Und noch was: ssh -X ErsterBenutzer@RechnerName
Wie kann ich so aus der Ferne neue Benutzer anlegen oder bestehden Benutzer die rechte verändern?
Ich steh’ da auf’m Schlauch?
07. April 2009 um 00:28:23 Uhr
Hallo ice. Um den Rechner neu zu starten, braucht es natürlich X nicht zwingend. Da reicht ein
sudo reboot oder sudo init 6
völlig aus, geht ja ohne Grafik. Den Benutzermanager über ssh -X erreichst Du über
sudo users-admin
Habe allerdings nicht kontrolliert, ob der UserAdmin via X überhaupt läuft.
27. April 2009 um 10:12:39 Uhr
Hallo
füge in den Autostart noch “killall xfce4-panel” ein und es gibt kein Leisten mehr
Gruß
27. April 2009 um 10:53:07 Uhr
Hey super, danke Uli! Werde ich gleich machen.
21. Mai 2009 um 22:27:50 Uhr
[...] Für die Laptops habe ich eine Ubuntu Live CD gemacht, tipps wie es geht kamen aus den Wiki und von ubuntublog . Diese sollten unterschiedliche Webseiten Aufruffen, eine die eine Beamer mit den Getagten Bleeps [...]
05. November 2010 um 20:38:51 Uhr
Hallo,
ich habe das auch mit der Kiosk Software gelöst und das klappt auch soweit ganz gut. Allerdings kann ich keine PDF mehr öffnen/herunterladen wenn das kiosk plugin aktiv ist. Auch nicht wenn ich als Administrator angemeldet bin.
(Die Gastbenutzer wollen z.B. online einchecken und Bordkarten drucken)
Falls jemand Abhilfe weiß, bin ich für einen Rat dankbar!
Gruß
17. November 2010 um 13:16:24 Uhr
Hallo T-Mo,
wie wirt den das PDF ausgegebn ?
welchen PDF Reder hast du installirt ?
Gruß