Hi. Welches Betriebssystem würdet ihr für einen "öffentlichen" PC verwenden? Folgendes Problem: Ein Freund hat ein Restaurant Imbiss Schänke. Es ist ein typisches "Arbeiterrestaurant" / Imbiss. Mittags gibts immer ein richtig gekochtes Stammessen. Ansonsten gibts halt noch das typische Imbissangebot wie z.B. Jägerschnitzel mit Pommes. Ein großer Posten ist auch der Getränkeverkauf. Nach der Mittagsessenszeit ist der meiste Umsatz aus Getränken. Nun ist es so, dass mein Freund eine WLAN Installation hat, die mit einem Ticketsystem über einen Provider läuft. Leider ist es so, dass das Klientel dieser Gaststätte noch nicht so mit Smartphones, Notebooks usw ausgestattet ist, bzw diese nicht dabei hat. Das Klientel sind eben mehr Arbeiter, und weniger kaufmännische Angestellte, Ingenieure usw. Aufgrund dieser Tatsache wird das WLAN kaum verwendet, so dass er mehr bezahlt als er einnimmt. Mein Freund kam jetzt auf die Idee, ein richtiges Internetcafe einzurichten. Er will eine Ecke mit ein paar "Surf-PCs" einrichten, um das WLAN Ticket System mehr auszulasten, und natürlich, um zusätzliche Kunden anzulocken. Zum Beispiel Kunden, die nur wegen dem Internetcafe die Lokalität aufsuchen. In einem Versuch wurde ein normaler PC aufgestellt. Das wurde von den Arbeitern gut genutzt. Viele haben es verwendet, um in der Mittagspause kurz mal "facebook zu checken" oder bei ner ebay Auktion zu überbieten usw. Nun sind wir auf der Suche nach einem geeigneten Betriebssystem für diese öffentlichen PC's. Win7 Home ist garantiert nicht geeignet. Wir suchen was, was nicht so leicht "Mutwillig beschädigt" oder manipuliert werden kann. Viele Grüße
Knoppix von CD wäre z.B. ein guter Anfang. Sollte alles mitbringen was man zu surfen braucht und ist per Neustart wieder im alten Betriebszustand.
Eine Linux CD wäre eine gute Idee. SiteKiosk hört sich auch gut an, mal gucken was das kostet. Ein Abrechnungssystem brauchen wir jedenalls nicht, logging auch nicht, auch keinen Contentfilter. Das wird durch den WLAN Provider schon gemacht. Bei dem WLAN Provider gibts dann solche "Tickets", die Preisgestaltung für die Tickets kann der Wirt selbst festlegen. Der WLAN Provider erhält davon eine bestimmte Provision, außerdem gibt es einen gewissen "Mindestumsatz". D.H. wenn man zu wenig oder zu billig verkauft, muss man trotzdem die Provision für den Mindestumsatz bezahlen.
Sven schrieb: > Hi. > Welches Betriebssystem würdet ihr für einen "öffentlichen" PC verwenden? > Wenn man die Zeit und die Nerven hat, oder einen kennt, der einspringt: OpenBSD. Gilt in der Fachwelt als das sicherste Betriebssystem, das allgemein und ähnlich wie Linux frei verfügbar ist. http://www.openbsd.org Die Lernkurve ist allerdings heftig. Für Einsteiger eignet sich das Betriebssystem sicherlich nicht. Leider sind OpenBSD-Fachleute dünn gesäat, aber man kann ja mal bei der örtlichen LUG (Linux User Group) nachfragen, ob wer jemanden kennt. > Mein Freund kam jetzt auf die Idee, ein richtiges Internetcafe > einzurichten. Er will eine Ecke mit ein paar "Surf-PCs" einrichten, um > das WLAN Ticket System mehr auszulasten, und natürlich, um zusätzliche > Kunden anzulocken. Zum Beispiel Kunden, die nur wegen dem Internetcafe > die Lokalität aufsuchen. Es gibt für OpenBSD geeignete Anwendungssoftware, die ein Kundiger installieren kann. http://marc.info/?l=openbsd-misc&w=2&r=1&s=cybercafe+sw+for+openbsd&q=b
Nimm ein beliebiges System welches auf CD-Roms läuft, und lass das dann idealerweise auf einem USB-Stick laufen. Linux ist dafür natürlich besonders geeignet. Bei schlanker Hardware kann ich PuppyLinux empfehlen.
Soweit ich weiß, gibt es extra Kiosksysteme für XP- die sind speziell gehärtet, die kriegst du nicht mal eben kaputt- ausser die Arbeiter-Kundschaft bringt den Hammer mit ;-)
Irgendein schlankes, flottes Linux, dieses einmal konfigurieren und bootbar machen. Dem Rechner ausreichend viel Arbeitsspeicher spendieren, dafür aber keine Festplatte verbauen. Oder zumindest eine, die man per Hardware schreibschützen kann. Das schont deine Nerven, denn du kannst jedem Benutzer quasi ein frisches Betriebssystem anbieten: Neustarten, fertig.
Welches OS ist im Prinzip völlig egal. Hauptsache, es bietet eine saubere Admin/User-Trennung. Ob jetzt Win7 Home das kann, kann ich glücklicherweise nicht beurteilen :-) aber Win7 Professional sollte gehen. Auch jedes beliebige Linux geht. Die Einstellungen, die die Kunden dann vornehmen, lassen sich bequem mit einem löschen bzw. überschreiben des Home-Verzeichnisses wieder rückgängig machen - oder man legt dieses gleich ins RAM. Das kann man auch automatisieren, so daß das jedesmal passiert, wenn sich ein Gast wieder ausloggt. Es gibt außerdem für einige Desktop-Systeme (z.B.KDE) einen Kiosk-Modus, der dem Benutzer nur eingeschränkten Zugriff auf den Desktop ermöglicht. Bei der Wahl des OS würde ich beachten, daß selbiges auch gewartet werden muß - d.h. der Betreiber sollte sich damit wohl fühlen und sich damit auskennen. Außerdem sollte das Ganze einigermaßen Angreiferunfreundlich sein (Stichwort Viren und Angriffe, ein Punkt, der eher für Linux spricht)
Kiosk-Modus / Windows Steady-State (oder eben ein Linux) ist das Mittel der Wahl
Christian Berger schrieb: > Nimm ein beliebiges System welches auf CD-Roms läuft, und lass das dann > idealerweise auf einem USB-Stick laufen. Linux ist dafür natürlich > besonders geeignet. CD-ROMs haben den Nachteil, schnell zu veralten. Bei den besseren Linuxvarianten gibt es fast wöchentlich Sicherheitsupdates. Um immer aktuell zu bleiben, d.h. böswilligen Hackern möglichst wenig Angriffsfläche zu bieten, sollte eine Linux-Distribution gewählt werden, bei der man selber aktuelle Live CDs bauen kann und zwar auf eine einfache Weise. Bei dieser Überlegung drängt sich Debian zwangsläufig auf: - schnelle Sicherheitsupdates, teilweise binnen weniger Stunden nach Bekanntwerden einer Sicherheitslücke - solides und robuste technische Grundlage - aktive Mailinglisten (da werden Sie geholfen) Allerdings gilt auch hier: Wer Sicherheit will, muß Unbequemlichkeiten in Kauf nehmen, d.h. bereit zu sein, zu lernen wie Live CDs aktuell zu halten sind.
Was gibt es denn überhaupt zu hacken? Wenn man mal eine vernünftige Konfiguration des umgebenden Netzwerkes annimmt, exakt garnichts. Lass doch den Benutzer das System verunstalten, wie er möchte. Neustart, fertig. Ist für sowas allemal sinnvoller, als zu versuchen, ein System sicher zu kriegen...
Wie wäre es mit kostemlosen WLAN und Kostendeckung durch erhöhte
Getränkebestellungen der Surfer ("kostenloses WLAN, Getränkeorder
erwünscht")?
D. I. schrieb: > Modus / Windows Steady-State (oder eben ein Linux) ist das Mittel > der Wahl Wenn man eine sichere Lösung anstrebt, muß man sich von dem Gedanken verabschieden, das "Richtige" installieren zu können, um anschliessend Ruhe zu haben. Praktische Sicherheit bedeutet ständiges Bemühen. Einmal Installieren und dann alles laufen lassen, bewirkt Unsicherheit. Sichereit zu gewährleisten, ist ein dauernder Prozeß, kein Zustand. Jedes Betriebssystem hat andere Vor- oder Nachteile, diesen Prozeß zu gewährleisten. Nach meiner Meinung sollte man Windows-Varianten nicht als erste Wahl sehen. Nicht deshalb, weil sie technisch unsicherer sind, sondern einfach deshalb, weil sie ein beliebteres Angriffsziel bilden. Das Know How, Windows anzugreifen, ist weit verbreitet. Linux angreifen, können wenige. OpenBSD angreifen, kann praktisch kaum jemand. Tools, um Windows anzugreifen, sind im Internet mit Leichtigkeit aufzufinden. Spezielle Programme gegen Linux gibt es deutlich weniger. Für OpenBSD findet sich gar nichts.
Ja, eine automatische Aktualisierung des OS ist natürlich auch wichtig. D.H. möglichst wenig Wartungsaufwand. Bei Linux Boot CD's geht das mit dem Update nur mit "Neu machen". Linux wäre gut, um die Anschaffungskosten der PC's zu reduzieren, weil man keine Windows Lizenz bezahlen muss. Andererseits ist Windows besser, weil der Wirt z.B. nur Windows kennt. Bei Linux kann der gar nix mehr selber machen. Ich kenne linux so einigermaßen. Mein Linux Verständnis reicht, um eine Installation von Gentoo ohne Installer, bzw eine LAMP installation von Hand durchzuführen, wenn ich einen Laptop mit Internet zum "Googlen" und Nachlesen permanent daneben stehen habe. Ohne Internet zum Nachschlagen bin ich in der Linuxwelt allerdings auch auf einem verlorenen Posten. Bei Windows wäre das alles bisschen einfacher. Vor Allem, wenn eine "Fertige Kiosklösung" dazu kommt, wo man alles "Klickibunti" einstellen kann. Das könnte ich mit dem Wirt dann einmal durchgehen, danach würde er es auch selber hinbekommen.
Sven P. schrieb: > Was gibt es denn überhaupt zu hacken? > > Wenn man mal eine vernünftige Konfiguration des umgebenden Netzwerkes > annimmt, exakt garnichts. Lass doch den Benutzer das System > verunstalten, wie er möchte. Neustart, fertig. > > Ist für sowas allemal sinnvoller, als zu versuchen, ein System sicher zu > kriegen... Es reicht schon, einen unerwünschten Download zu bewerkstelligen, im falschen Chat mitzumischen, Bestellungen auf Rechnung zu tätigen, ohne bezahlen zu wollen, seine Freunde bei der GEZ spasseshalber anzumelden, andere zu verleumden etc etc. Schaden kann man per Internetcafe mit Leichtigkeit, ohne sich irgendwo einhacken zu müssen. Den Ermittlungsbehörden steht dann die IP-Adresse des Internetcafes zur Verfügung, d.h. der Ärger ist erst einmal da und man muß sich rechtfertigen.
Linux, Schreibzugriffe aufs Dateisystem kann man umleiten und verwerfen lassen beim abmelden. Selbst wenn dann irgendwer es schafft das Benutzerkonto zu verseuchen ists beim nächsten ein-/ausloggen wieder sauber. Nachdem son Kiosk auch nicht viel an Software braucht dürften auch die Möglichkeiten an höhere Rechte zu kommen sehr begrenzt sein/man kann AppArmor und ähnliches sehr streng einstellen. Klar, regelmäßig kontrollieren und updaten sollte man trotzdem... Das könnte man auch von nem anderen System mit regelmäßig Platte klonen machen, danach kann im System nix mehr von einem der Kunden sitzen. Sollte ausreichen, falls nicht noch spezielle gesetzliche Anforderungen gibt, aber die dürften übers WLAN auch schon geklärt sein.
Pete K. schrieb: > Wie wäre es mit kostemlosen WLAN und Kostendeckung durch erhöhte > Getränkebestellungen der Surfer ("kostenloses WLAN, Getränkeorder > erwünscht")? Weiß nicht, ob das geht. Der muss die Tickets ja bei dem Provider bestellen. Also online ein Preismodell erstellen (Wie lange, wie teuer), und die Tickets mit den Codes ausdrucken Ob er 0,00 Euro als Verkaufspreis angeben kann, weiß ich nicht. Und das ändert nichts daran, dass das Kleientel i.d.r schlicht keine Laptops dabei haben. Wenn anstatt Arbeitern und Handwerkern Kaufleute oder Ingenieure kämen, wäre das vielleicht anders. Als er den PC aufgestellt hatte, haben die dort aber Schlange gestanden. Da hat dann einer ein Ticket gekauft und die ganze "Gruppe" hat es dann gemeinsam verbraucht, in dem jeder mal kurz ran durfte. Am nächsten Tag kaufte dann ein anderer Kollege ein Ticket für seine Gruppe. 2 oder 3 Internetcafe PC's würde man wohl auch ausgelastet bekommen. Mehr wäre schon wieder überflüssig.
pv schrieb: > Den Ermittlungsbehörden steht dann die IP-Adresse des Internetcafes zur > Verfügung, d.h. der Ärger ist erst einmal da und man muß sich > rechtfertigen. Die Sicherheit wird durch den WLAN Provider gewährleistet. Das läuft via VPN über deren System, wo auch entsprechende Absicherungs- und Loggingmaßnahmen getroffen wurden.
Sven schrieb: > pv schrieb: >> Den Ermittlungsbehörden steht dann die IP-Adresse des Internetcafes zur >> Verfügung, d.h. der Ärger ist erst einmal da und man muß sich >> rechtfertigen. > > Die Sicherheit wird durch den WLAN Provider gewährleistet. Das läuft via > VPN über deren System, wo auch entsprechende Absicherungs- und > Loggingmaßnahmen getroffen wurden. Der Schwachpunkt bleibt insofern, die surfenden Gäste im Nachhinein nicht identifizieren zu können. Woher weis die Behörde, dass man als Wirt nicht selber gesurft hat? Diesen Verdacht gilt es zu entkräften. Nach allem, was ich hier gelesen habe, glaube ich, dass Dir folgende Alternativen bleiben: - Windows mit Kiosk-Programm: leicht einzurichten, Admin (sprich Wirt) ist leichter zu schulen, man kann seine Arbeit mit der Übergabe beender, Nacharbeit im Fehlerfall aufwendig - Linux mit Kiosk-Programm: mittelschwer einzurichten, Admin ist aufwendig zu schulen, man bleibt zwangsläufig in der Verantwortung, zumindest in der Übergangszeit, Nacharbeit im Fehlerfall ist zu erlernen, dann aber idR nicht aufwendig - Linux als Live CD (mit oder ohne Kiosk-Programm): Bau einer Live CD ist zu erlernen, Live CD ist einmal einzurichten, danach leichtes Updaten (was man aber dem Wirt nicht zutrauen mag), man bleibt involviert und man bleibt in der Verantwortung, zumindest in der Übergangsphase, in denen man mit Fragen des Admins bombardiert wird, Nacharbeit im Fehlerfall unmöglich (weil Live CD). u mit einem Kiosk-Programm auf Windows-Basis eine etwas schlechtere technische Sicherheit mit einem etwas
pv schrieb: > u mit einem Kiosk-Programm auf Windows-Basis eine etwas schlechtere > technische Sicherheit mit einem etwas Bitte beide Zeilen streichen!
Sven schrieb: > wo auch entsprechende Absicherungs- und > Loggingmaßnahmen getroffen wurden Hmm, und was nutzt das Logging? Lässt du dir von jedem Kunden den Perso zeigen? Im Zweifelsfall fragen die Behörden beim Provider nach und der sagt dann: "Das war der Kiosk von Herrn X". Und schon bist du dran.
(es ist vermutlich HotSplots) "sicher" für den wirt ist es (wenn er die tickets selber druckt) vermultich tatsächlich nur,wenn er den personalausweis verlangt... ich find es kurios dass hier soviele "helfen wollen" aber keiner (auch nur EIN) KONKRETES beispiel posten kann "einem Kiosk-Programm " ist ja keine wirklich hilfe..
Robert L. schrieb: > ich find es kurios dass hier soviele "helfen wollen" aber keiner (auch > nur EIN) KONKRETES beispiel posten kann > > "einem Kiosk-Programm " ist ja keine wirklich hilfe.. Bei der Suchmaschine Deiner Wahl wird geholfen: "windosw kiosk program" "linux kiosk program" Nebenbei: Die Frage lautete: Welches Betriebssystem ...
pv schrieb: > Gilt in der Fachwelt als das sicherste Betriebssystem, das allgemein und > ähnlich wie Linux frei verfügbar ist. "...wenn die Entwickler nicht gerade gekauft sind und Backdoors einbauen" meintest du?
Martin schrieb: > pv schrieb: >> Gilt in der Fachwelt als das sicherste Betriebssystem, das allgemein und >> ähnlich wie Linux frei verfügbar ist. > > "...wenn die Entwickler nicht gerade gekauft sind und Backdoors > einbauen" meintest du? Mir fällt ja auf, daß jemand mit dem Namen Martin seit einiger Zeit hier im Mikrocontrollerforum nur dämliche Kommentare abgibt. Bist das immer Du oder gibt's noch mehrere mit dem Namen hier?
Naja, Du kannst auch ein normales Linux nehmen und im Fehlerfall einfach den Inhalt des Home-Verzeichnisses löschen, oder das Home-Verzeichniss gleich als tmpfs oder so was mounten. Dann können die Leute nichts falsch machen, Updates bekommst Du aber trotzdem.
>Nebenbei: Die Frage lautete: Welches Betriebssystem ... naja, die frage ist dann halt "falsch" gestellt.. >Bei der Suchmaschine Deiner Wahl wird geholfen: >"windosw kiosk program" >"linux kiosk program" nein das mach ich sicher nicht a) interessiert es MICH nicht.. (ich hab nur festgestellt dass es hier bisher noch keine "konkreten" antworten gibt b) wäre mir erfahrungen/empfehlungen von jemdanden der sowas tatsächlich im einsatz hat wichtiger, als google ... ... ich glaube dass bei dem thema viele faktore dazukommen, z.b. dass nach dem logout alle daten gelöscht werden usw. andererseits zuviele einschräkungen (kein skype usw.) wenig sinn machen ausserdem braucht (ausser ein paar touristen) sowieso niemand einen PC in einem internet caffee...
Robert L. schrieb: > ... Du bist ja wohl tatsächlich der Martin! Du bist ja so raffiniert. Du bist ein toller Hecht! Hechte sind kalte Fische. Und fühlen sich im flachen Wasser wohl. Du bist so authentisch. Bleib so wie du bist!
Johann schrieb: >> "...wenn die Entwickler nicht gerade gekauft sind und Backdoors >> einbauen" meintest du? > > Mir fällt ja auf, daß jemand mit dem Namen Martin seit einiger Zeit hier > im Mikrocontrollerforum nur dämliche Kommentare abgibt. Bist das immer > Du oder gibt's noch mehrere mit dem Namen hier? Was ist dämlich an der Warnung, daß ein OpenBSD-Entwickler zugegeben hat, für staatliche Stellen Backdoors eingebaut zu haben?
Aber so kennt man die OpenBSDler... immer Schaum vorm Mund. Siehe auch die Reaktionen auf fefes Scalability-Test: NetBSD: Hm, das sieht nicht gut aus, wir haben das jetzt mal gefixt OpenBSD: So ein Wichser, der kapiert ja gar nichts Also: Wenn BSD, dann ein vernünftiges. NetBSD, FreeBSD, Dragonfly, sowas halt.
Trotz allem ist das hier doch völlig unerheblich. Dem TE wird es wohl eher darum gehen das die Kunden keinen Mist machen können (uuupps... durfte man das nicht löschen?) oder irgendwelche eigenen Programme oder sonstigen Mist installieren oder Viren einschleppen. Dafür ist ein CD-Linux welches einfach nach jedem Kunden rebootet wird doch ideal, und da braucht man auch nicht das letzte Sicherheitsupdate, und selbst wenn beschränkt sich der Aufwand auf das brennen eines ISO images, die Kosten sind denke ich bei den heutigen CD/DVD Preisen durchaus verschmerzbar...
Wie wäre es mit einer Festinstallation eines Ubuntu? So ganz normal, wie man sich das auch zuhause installiert. Wenn man schon die ganze Zeit dadrüber redet, dass Windows besser für den Wirt wäre, weil der zu wenig von Linux versteht, wieviel wird dann erst die Kundschaft von Linux verstehen, um das Fachmännisch kaputt zu kriegen? Ein Ubuntu kann man im Gast-Modus starten. Damit kann man immernoch Prima im Netz surfen. Fürs Updaten einfach mit dem normalen Benutzer einloggen, Internetupdates ziehen und wieder als Gast einloggen. Fertig. Zu mir: Auf Partys, (da wo man betrunkene Gäste in der Stube hat) lasse ich meinen Computer auch immer im Gast-Modus und spiele dadrüber dann Musik von einer Externen Festplatte oder USB-Stick. Falls wirklich jemand da aus Zufall was verstellt (ist bis jetzt noch nie vorgekommen), wäre mein System davon nicht betroffen. Virenverseuchte USB-Sticks (auch das kommt vor) haben auf einem Linuxsystem eh keine Chance.
Läubi .. schrieb: > Trotz allem ist das hier doch völlig unerheblich. Dem TE wird es wohl > eher darum gehen das die Kunden keinen Mist machen können Ja, da hast du recht. Es nervt aber halt, wenn ein OpenBSD-Fanatiker hier Leute keilen will und dann noch ausfallend wird. So, ich beruhige mich jetzt erstmal wieder, so ganz stubenrein war meine Ausdrucksweise zugegebenermaßen auch nicht. Aber es zehrt schon an den Nerven, wenn ich in diesem Forum permanent wüst beschimpft werde. So wie in dem SpOn-Thread.
Läubi .. schrieb: > Dafür ist ein CD-Linux welches einfach nach jedem Kunden rebootet wird > doch ideal, und da braucht man auch nicht das letzte Sicherheitsupdate, Pragmatisch kann man sicherlich so vorgehen. Man sollte sich aber bewußt sein (und den "Kunden" informieren), welche Folgen das haben kann, aber nicht zwingend haben muß. Mag der "Kunde" entscheiden, welchen Aufwand bzw. welches Restrisiko er in Kauf nehmen will. Ich halte Offenheit in diesen Fragen für angezeigt. > und selbst wenn beschränkt sich der Aufwand auf das brennen eines ISO > images, die Kosten sind denke ich bei den heutigen CD/DVD Preisen > durchaus verschmerzbar... dto
pv schrieb: > Es reicht schon, einen unerwünschten Download zu bewerkstelligen, [...] Es wird dich davor aber auch nicht die vermeintlich sicherste Installation dieser Welt schützen. Es wird sich immer irgendein Proxy oder Anonymisierungsdienst finden. Und wenn du hundert Stück sperrst, findet sich der 101. Dienst. Das versucht Mainz mit dem Schulnetzwerk ja auch schon seit Äonen ohne jeglichen Erfolg.
Ich gehe mal von einer anderen Seite an die Sache heran. Deine Anforderungen sind, wie ich gelesen hatte, Facebook, ebay, etc. solls können, sicher und kostengünstig solls sein und wenig Aufwand solls verursachen. Hmm ich würde auch ein Knoppix-ISO auf einen Memorystick draufspielen (dann läuft das DVD-Laufwerk nicht permanent) und gut is es. Einfach morgens die Kisten starten, wenn Problems gibt neu booten,fertig. Eine Harddisk, soweit vorhanden, würde ich auch sicherheitshalber abstecken (wie bereits beschrieben) Nachdem die User hauptsächlich nur einen Browser brauchen werden, kann man den Aufwand da gering halten. Viele Grüße, Piet
Sven P. schrieb: > pv schrieb: >> Es reicht schon, einen unerwünschten Download zu bewerkstelligen, [...] > > Es wird dich davor aber auch nicht die vermeintlich sicherste > Installation dieser Welt schützen. Es wird sich immer irgendein Proxy > oder Anonymisierungsdienst finden. Und wenn du hundert Stück sperrst, > findet sich der 101. Dienst. Deswegen der Hinweis, dass mit der Installation des "sichersten" Betriebssystemes die Arbeit keineswegs getan ist, sondern erst anfängt, will man seine EDV "sicher" betreiben.
Martin schrieb: > Es nervt aber halt, wenn ein OpenBSD-Fanatiker hier Leute keilen will > und dann noch ausfallend wird. Martin, langsam reicht's. Kannst Du Deine Behauptung irgendwie belegen? Mal abgesehen davon, daß es im Internet sowohl Meinungen pro als auch kontra gibt - wieso sollte das FBI ausgerechnet ein so weit verbreitetes OS wie OpenBSD angreifen?
pv schrieb: > Sven P. schrieb: >> pv schrieb: >>> Es reicht schon, einen unerwünschten Download zu bewerkstelligen, [...] >> >> Es wird dich davor aber auch nicht die vermeintlich sicherste >> Installation dieser Welt schützen. Es wird sich immer irgendein Proxy >> oder Anonymisierungsdienst finden. Und wenn du hundert Stück sperrst, >> findet sich der 101. Dienst. > > Deswegen der Hinweis, dass mit der Installation des "sichersten" > Betriebssystemes die Arbeit keineswegs getan ist, sondern erst anfängt, > will man seine EDV "sicher" betreiben. Dazu ist Sperren von irgendwelchen Seiten, was ja hier eines der Kernprobleme ist, aber keine Lösung. Du kannst schlecht jeden Tag nach den neuesten Proxies usw. suchen und diese wieder sperren und so weiter. Dass das in diesem speziellen Fall (rechtliche Absicherung) unbefriedigend ist, weiß ich auch. Rechtlich fällt mir da aber einfach keine Lösung zu ein. Die momentane Regelung ist ähnlich bescheuert, wie bei öffentlichen WLAN-Hotspots und kopiergeschützten CD: Die Maßnahme muss zwar nix taugen, aber sie muss vorhanden sein...
Johann schrieb: > Martin, langsam reicht's. Kannst Du Deine Behauptung irgendwie belegen? Aber sicher: http://marc.info/?l=openbsd-tech&m=129236621626462&w=2 Vom Gründer und Projektleiter persönlich. Aber warum nimmst du einfach an, daß ich hier lüge? Du kennst mich schließlich gar nicht.
Hier mal meine Meinung zu dem ganzen Thema... Ein PC mit einem BSD Derivat drauf ist zwar schon etwas vom sichersten was man sich vorstellen kann. Selber verwende ich sogar FreeBSD auf einem Webserver, welcher bereits über Jahre anstandslos und absolut stabil läuft. ABER, ins Internetcafe kommen Leute die nur mal schnell was gucken wollen und alles möglichst gut funktioniert, sprich alle Websites korrekt anzeigen kann. Eine Windowsinstallation kann man zwar ganz schnell kaputt kriegen, auf der anderen Seite funktionieren damit aber so ziemlich alle Websites inkl. komplexen Flash-Angelegenheiten und speziellen Videocodecs oder sonstigen Murks von Webmastern. Daher würde ich trotzallem etwas auf Windows basierendes hinstellen. Es gibt dafür Kiosksysteme, die auch eine grosse Sicherheit gegen Manipulation bieten, wenn natürlich auch niemals so robust wie eine Lösung mit BSD oder Linux. Wenn Du von der nackten Windowsinstallation mit Kiosksoftware dann ein Image ziehst, kannst Du das dann einfach wieder ohne grossen Aufwand draufkopieren, wenn ein User es trotzdem hinkriegt, das System zu bodigen. Ich würde mal schätzen, 90% der User in einem Internetcafé wären mit Windows zufriedener als mit einer Unix-Derivat oder Mac basierten Lösung; einfach weil es Mainstream ist.
Johnny B. schrieb: > Ich würde mal schätzen, 90% der User in einem Internetcafé wären mit > Windows zufriedener als mit einer Unix-Derivat oder Mac basierten > Lösung; einfach weil es Mainstream ist. Ich denke auch bei Ubuntu & Co wird jeder den Firefox-Button finden und drücken können. Die Bedienung des Browsers an sich ist dann ja überrall die gleiche. Zusätzlich verleitet das ungewohnte Look&Feel kaum dazu irgendwo irgendetwas zu verstellen, im Gegensatz um bekannten Windows.
Ideen schrieb: > Johnny B. schrieb: >> Ich würde mal schätzen, 90% der User in einem Internetcafé wären mit >> Windows zufriedener als mit einer Unix-Derivat oder Mac basierten >> Lösung; einfach weil es Mainstream ist. > > Ich denke auch bei Ubuntu & Co wird jeder den Firefox-Button finden und > drücken können. Die Bedienung des Browsers an sich ist dann ja überrall > die gleiche. Zusätzlich verleitet das ungewohnte Look&Feel kaum dazu > irgendwo irgendetwas zu verstellen, im Gegensatz um bekannten Windows. Da kann ich Dir beipflichten; nur für den Browser alleine würde es keine Rolle spielen, sofern natürlich alle Inhalte problemlos angezeigt würden. Aber in einem Internetcafé will einer vielleicht auch mal Fotos von seiner Speicherkarte oder USB-Stick in sein Fac*book-Profil hochladen oder etwas ausdrucken. Das geht mit Windows dann sicher in einer gewohnteren Umgebung. Ich denke man muss wohl einen Kompromiss fahren; ein optimales System für den Administrator muss nicht auch das optimale System für den Nutzter sein. Optimal wären wohl verschiedene Systeme wie Windows, Linux, Mac. Aber die alle in einem kleinen Internetcafé zu unterhalten sprengt wohl dessen Resourcen.
Johnny B. schrieb: > Ich würde mal schätzen, 90% der User in einem Internetcafé wären mit > Windows zufriedener als mit einer Unix-Derivat oder Mac basierten > Lösung; einfach weil es Mainstream ist. Daumen hoch für diesen Beitrag mit Augenmaß!
http://www.schwarz-distribution.de/pc-sheriff/ PC-SHERIFF karte oder Software und gut ist. Schon kannst du ne 08/15 Windoes Büchse hinstellen die dann auf wunsch bei jeden start die Orginal Installation wieder herstellen und starten...
Am besten ein System nehmen das vor jeder Anmeldung von einer Masterkopie aus einfach automatisch neu aufgespielt wird. Das ist mit Linux durchaus machbar. Eine Partition mit Wartungssystem+Einspiellogik, und eine Systempartition. Beide Installationen müssen sich dann nur noch das Default-Boot-Flag gegenseitig zuschieben. "Schnelle Sicherheitsupdates, teilweise binnen weniger Stunden nach Bekanntwerden einer Sicherheitslücke" Bei dem Anwendungsfall gibt es eigentlich nur folgende Sorten potentieller Sicherheitsprobleme: 1)Browserlücken inkl solchen in Flash, Java und Videocodecs durch die einem Besucher irgendwelche Daten aus Sessions geklaut werden können, und ähnliche Probleme in IM-Clients 2)local privilege escalations, idR sind das Fehler im Kernel, X-Server, SUID-binaries. 3)Möglichkeiten in den Bootvorgang einzugreifen. 4)Missbrauch durch Besuch fragwürdiger Seiten 5)Keylogger und andere Bösartigkeiten die ein Nutzer evtl einpflegen könnte (genau deshalb besser mit Masterkopie arbeiten!). Wenn einen irgendetwas anderes betrifft dann hat man Zeug auf dem Rechner was da gar nichts drauf verloren hat. 1. Muss man in der Tat durch Browserupdates lösen, 2. durch eine Kombination aus Updates und wiederum Minimierung der installierten privilegierten Software (Ein Debian-System kommt mit einer Handvoll SUID-Binaries aus. Und zB die Tools um Passwörter zu ändern brauchen auf einem derartigen System NICHT vorhanden zu sein bzw gehören ins Wartungssystem. 3. Muss man durch anpassen der Bootloaderkonfiguration (Ein standard-grub ist nicht dicht, RTFM) und BIOS-Einstellungen lösen, 4. sollte ausserhalb der Arbeitsstation implementiert werden. Hier mal eine Liste an SUID/SGIDs eines Ubuntu-Systems das gerade zur Hand war, und Kommentare ob es auf einem Cafe-System SUID/SGID sein muss: /usr/bin/chsh NEIN /usr/bin/sudo EVTL /usr/bin/mtr NEIN /usr/bin/kpac_dhcp_helper NEIN /usr/bin/kgrantpty EVTL /usr/bin/sudoedit NEIN /usr/bin/fileshareset NEIN /usr/bin/newgrp NEIN /usr/bin/X TESTEN, sollte unnötig sein wenn ein XDM läuft! /usr/bin/at NEIN /usr/bin/start_kdeinit KDE-spezifisch, TESTEN, wahrscheinlich wie bei X /usr/bin/passwd NEIN /usr/bin/chfn NEIN /usr/bin/arping NEIN /usr/bin/lppasswd NEIN /usr/bin/traceroute6.iputils NEIN /usr/bin/pkexec EVTL, TESTEN /usr/bin/gpasswd NEIN /bin/ping6 NEIN /bin/umount EVTL, je nach USB-Stick-Policy /bin/su EVTL /bin/ping NEIN /bin/fusermount wahrsch. NEIN, evtl für USB etc benötigt /bin/mount wahrsch. NEIN, evtl für USB etc benötigt /usr/sbin/uuidd eher NEIN, TESTEN /usr/sbin/pppd NEIN, hat nichts drauf verloren /usr/bin/dotlockfile NEIN /usr/bin/kwrited NEIN /usr/bin/wall NEIN /usr/bin/mail-lock NEIN /usr/bin/ssh-agent NEIN, hat nichts drauf verloren /usr/bin/bsd-write NEIN /usr/bin/screen NEIN, hat nichts drauf verloren /usr/bin/mail-unlock NEIN, hat nichts drauf verloren /usr/bin/mail-touchlock NEIN, hat nichts drauf verloren /usr/bin/chage NEIN, hat nichts drauf verloren /usr/bin/xterm WENN man es haben will, JA. /usr/bin/crontab NEIN, hat nichts drauf verloren /usr/bin/expiry NEIN, hat nichts drauf verloren /usr/bin/mlocate NEIN, Paket hat nichts drauf verloren /sbin/unix_chkpwd JA Ganz wichtig ist auch dass man, WENN man externe Medien erlaubt, gründlich prüft dass die nosuid, nosgid Mountflags immer gesetzt werden.
Andy D. schrieb: > Am besten ein System nehmen das vor jeder Anmeldung von einer > Masterkopie aus einfach automatisch neu aufgespielt wird. Das ist mit > Linux durchaus machbar. Diese Lösung wird besonders interessant, sobald mehrere Rechner aufgestellt werden. Einer der Rechner wird an einen für Besucher nicht zugänglichen Platz verwahrt und dient als Bootserver. Die restlichen Benutzer-Rechner holen sich das Betriebssystem nebst Anwendungsprogrammen von diesem Bootserver, sobald sie hochfahren. Dafür müssen jene Rechner über ihre Netzwerkkarte booten können, was bei neueren Rechnern bzw. Netzwerkkarten möglich sein sollte. Das nennt sich PXE. Bei älteren Netzwerkkarten kann man in vielen Fällen ein sog. Bootprom beschaffen. Wenn das auch nicht möglich ist, kann man immer noch eine spezialisierte Bootcd oder eine spezialisierte Bootfloppy einsetzen, um den Benutzer-Rechner zu veranlassen, übers Netz zu booten. In diesem Fällen kommt es zu einem zweiteiligen Bootvorgang, erst die Bootcd/-floppy, dann das Image übers Netz (vereinfachte Darstellung). Sollte während des Betriebes auf einem der Benutzer-Rechner ein Problem auftreten, beschränkt sich die Fehlerbehebung auf einen Neuboot. Danach steht wieder ein frisches Betriebssystem zum Weiterarbeiten zur Verfügung. Bei der Auswahl des Images, welches gebootet werden soll, gibt es vielfältige Möglichkeiten, z.B. ein Standardbetriebssystem oder ein Minimalbetriebssystem (Thinclient). Für letzteres gibt es vorgefertigte Lösungen, insbesondere aus dem Schulbereich (Skolelinux und andere). Vermutlich wird ein Standardbetriebssystem in der Praxis einfacher zu handhaben sein. Nachteil aller dieser Lösungen sind die doch recht hohen Anforderungen an das Know How desjenigen, der das Netz installieren will. Vorteil dieser Lösungen ist die vereinfachte laufende Verwaltung. Man hat nur noch ein Betriebssystem zu verwalten, welches in derselben Form auf allen Benutzerrechnern läuft. Verwaltet wird nur noch das Image auf dem Bootserver. Man muß nicht mehr von Rechner zu Rechner laufen oder mitunter fehleranfällige Tools zur Remoteadministration einsetzen. Als Thinclients kann man leistungschwache Rechner einsetzen, die anderswo aussortiert worden sind. Für solche Lösungen eignen sich besonders freie Betriebssysteme wie Linux oder die BSD-Varianten.
Andy D. schrieb: > Am besten ein System nehmen das vor jeder Anmeldung von einer > Masterkopie aus einfach automatisch neu aufgespielt wird. Oder gleich PXE-Boot? Dann sollte das mit Windows auch gehen...
Ein PXE-Boot braucht aber immer noch ein Netzwerkfilesystem oder Betriebssystemimage dahinter. Leute die sowas unter Windows wirklich beherrschen wirst Du evtl weniger finden als im Linux/BSD-Bereich. Ein Linux-System kann man im laufenden Betrieb kopieren, etwas abmischen, in ein .tar Archiv packen, auf einem bauartähnlichen System wieder auspacken, Bootloader aufsetzen, Moped fertig - zumindest wenn man weiss was man tut. Windows stellt einem da doch einige Fallen in den Weg.
Um mal wieder ein wenig konkreter zu werden; KIOSK Enterprise auf Windows 7 soll recht gut sein. Zum ausprobieren kann man ja mal die kostenlose Version für Privatpersonen verwenden. Oder lass Dir das gleich von einer Firma machen die sich damit auskennt. Ich nehme mal an, dass ein durchschnittlicher Imbissbetreiber kein IT-Experte ist, welcher da selbst was brauchbares zusammenbasteln kann. Beispielsweise: http://www.quickterm.de/
> einfach weil es Mainstream ist.
Die Leute sollen ja eben nicht ihre eigenen Programme starten und Viren
etc importieren. Firefox, Skype etc gibt es auch für Linux,
Textverarbeitung und Tabellenkalkulation auch, da ist man mit Linux
sogar noch viel universeller, was die Dateitypen angeht. Ich habe schon
oft in Hotels und Hostels Linux-Systeme gesehen und benutzt, die von
einem USB-Stick gestartet sind.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.