© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Nabend!
Bernd und Oliver haben Dir ja schon ein paar sehr gute Tips
gegeben, wie man die von Dir geplante Einsperrung realisieren
kann - ein Jail dürfte wohl wirklich das bequemste sein; erlaube
mir dennoch ein paar Anmerkungen:
On Fri, 12 Feb 2010 12:29:39 +0100, Marc Santhoff <M.Santhoff(at)web.de> wrote:
> sh, klappt aber alles nicht. In /etc/profile nicht, weil da bereits mit
> den Rechten des Benutzers ausgeführt wird.
Da gibt es in diesem Falle die Möglichkeit, kein Login im
Textmodus, sondern ein X-Login (xdm) zu verwenden. (Sofort
fällt auf, daß bei lokalem Konsolenzugriff oder Einstieg
per SSH Probleme auftauchen, aber sei's drum.) Im Zuge des
Login wird /usr/local/lib/X11/xdm/GiveConsole, beim Abmelden
dann /usr/local/lib/X11/xdm/TakeConsole ausgeführt, jeweils
mit root-Rechten, damit läßt sich einiges machen. Natürlich
kann es wie immer sein, daß in einer Multi-User-Umgebung der
Spaß damit erst richtig anfängt. :-)
> Auch nicht wirklich, weil die shell ja wie oben als Benutzer x
> ausgeführt wird und außerdem wird chroot dann jedesmal neu aufgerufen.
> Gut, im Skript könnte man noch den ersten Lauf abfangen ...
Stimmt, das wäre auch problematisch, z. B. dann, wenn der User
beispielsweise ein X-Terminal aufmacht, in dem eine Shell läuft.
> > Richtig, da helfen dann Programme wie "htop" um nachzusehen,
> > was da eigentlich läuft, und ob das auch so sein soll.
>
> Schau ich mir mal an, nie gehört.
Das ist eine "Erweiterung" vom klassischen top-Programm, das
meiner Ansicht nach sehr übersichtlich und durchaus als Mittel
der fröhlichen Prozeßadministration zu werten ist. :-)
> Die mental verträglichste Lösung scheinen mir
> grade jails zu sein, da haben wenigstens schon eine Menge Köpfe
> vorgedacht.
Würde ich auch so sehen, zumal "Verwechslungen" (d. h. irgend-
welche Inkonsistenzen) dort weniger zu erwarten sind, als wenn
man versucht, interne Login-Prozeduren in "non-standard"
umzumodeln. Ein System- oder Programm-Update kann einem da
schnell den Boden unter den Füßen wegziehen.
> Das wird mein nächstes Thema sein, die angedachte Lösung eskaliert
> einfach in zuviele Unbekannte.
Als die Leute noch doof genug waren ... man merkt, welch Geistes
Kind ich bin ... :-) ... hat es genügt, unter X ein Dock oder
etwas ähnliches zu starten (z. B. das, was von FreeSBIE genutzt
wird), wo der Benutzer dann die jeweiligen Programme anklicken
kann, die er nutzen darf. Ein Terminal sollte natürlich nicht
dabei sein, denn dann ginge der Ärger ja erst richtig los. :-)
Damit war quasi ein "Menü" vorgegeben, aus dem der Benutzer
nicht mehr rauskam. Ähnliche Lösungen gab es auch schon für DOS,
unter i5/OS ist es nahezu gang und gäbe.
Aber ich nehme mal stark an, daß Du auch ein entsprechendes
Erfordernis hast, einen Benutzer dermaßen einsperren zu müssen.
Das ist oft dann der Fall, wenn dem Benutzer Merkbefreitheit und
Fehlen von Verantwortungsgefühl zu attestieren sind. "Wieso haben
Sie was dagegen, wenn ich mir auf MEINEM Arbeits-PC die Spiele
und Filme installiere, die ICH will?!" :-)
-- Polytropon Magdeburg, Germany Happy FreeBSD user since 4.0 Andra moi ennepe, Mousa, ... To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 12 Feb 2010 - 23:54:05 CET