Distro linux superblindata mono-task

[firefox88]

Salve a tutti,

devo allestire un terminale il cui unico compito è consentire a chi lo utilizzi la compilazione di un questionario situato un certo sito Internet. Non vorrei che fosse possibile fare altro su questo terminale e vorrei che la "navigazione" fosse ristretta esclusivamente al dominio (e quindi all'IP) sul quale risiede il questionario.

Nessuna possibilità di fare shutdown, di accedere alla shell, di avere la lista di processi, di avviare altri processi se non Firefox (o Konqueror, insomma quello che sia): niente di niente.

E' chiaro che se vogliono manomettere il terminale possono farlo, ma solo danneggiando l'hardware, insomma il software dev'essere blindato al 100%.

Esiste una distro Linux (anche commerciale) in grado di offrirmi qualcosa di simile?

Grazie in anticipo!!

[Herod2k]

Quote:

Originariamente inviato da firefox88

Salve a tutti,

devo allestire un terminale il cui unico compito è consentire a chi lo utilizzi la compilazione di un questionario situato un certo sito Internet. Non vorrei che fosse possibile fare altro su questo terminale e vorrei che la "navigazione" fosse ristretta esclusivamente al dominio (e quindi all'IP) sul quale risiede il questionario.

Nessuna possibilità di fare shutdown, di accedere alla shell, di avere la lista di processi, di avviare altri processi se non Firefox (o Konqueror, insomma quello che sia): niente di niente.

E' chiaro che se vogliono manomettere il terminale possono farlo, ma solo danneggiando l'hardware, insomma il software dev'essere blindato al 100%.

Esiste una distro Linux (anche commerciale) in grado di offrirmi qualcosa di simile?

Grazie in anticipo!!

secondo me basta una distribuzione tipo Debian installata da netinst.
CI metti sopra fluxbox modifichi il menu riducendolo all'osso e togliendo tutti i pulsanti che potrebberoi fa danni..
crei un'utente ad hoc e lo metti in un gruppo con permessi ridotti.
disabiliti i vari comandi di Xorg (es: ctrl+alt+backspace..) chiudi i vari terminali.
Metti firefox all'avvio automatico.
Dovrebbe essere quello che serve a te... no?

[ilsensine]

Quote:

Originariamente inviato da Herod2k

CI metti sopra fluxbox

In questo caso si potrebbe anche evitare del tutto un wm.
Giusto il suggerimento di disabilitare le combinazioni speciali di X (oltre a ctrl+alt+backspace, anche ctrl+alt+f<n> )

La ciliegina sarebbe una bella configurazione di selinux per bloccare il tutto tranne quello che serve, ma è un pò più laborioso.

[Barra]

C'è modo infatti di avvire ubuntu con un browser fullscreen, senza interfaccia di nessun tipo. Una cosa del genere è quella che puoi vedere in voicebuntu

[eclissi83]

Quote:

Originariamente inviato da Barra

C'è modo infatti di avvire ubuntu con un browser fullscreen, senza interfaccia di nessun tipo. Una cosa del genere è quella che puoi vedere in voicebuntu

che poi sarebbe il kiosk mode...

ciao

[Barra]

Hai ragione non mi veniva il termine! Cmq dovrebbe essere perfetto x quello che deve fare firefox88

[firefox88]

Alla fine ho personalizzato una debian netinst.

Grazie a tutti!

[arara]

Se vuoi fare altri esperimenti, puoi provare Fedora9: è stato inserito un nuovo user type di SELinux che confina gli utenti normali, e permette di fare cose molto interessanti col massimo della sicurezza.

In particolare, l'utente xguest puo loggarsi nel sistema senza inserire alcuna password, ha acceso solo alla sua /home e alla cartella /tmp. Puo usare il browser e installare i programmi che vuole nella sua /home. Quando ha finito ed esce, tutto viene rimosso e il prossimo che entra trova tutto com'era prima.

Fedora 9: Confining the user with SELinux
This “xguest” user can log in to your system from the console without a password when SELinux is in enforcing mode. The xguest rpm also sets up pam_namespace to create temporary home directories and /tmp directories, which are destroyed when the user logs out. We think this is an excellent way to run a kiosk machine. The login user can only browse the web (using firefox) and can not leave any apps around to attack other users that log into the system. Everything that user does on the machine is erased when they log out, so no one could grab any password information that might have been left behind.


E la soluzione perfetta per un kioskmode, non disturba l'utente e da anche il massimo grado di sicurezza, soprattutto contro eventuali bug ed exploit, come in questi casi:
[CRITICO] Scoperta vulnerabilità locale in Linux 2.6
SELinux: not just for servers anymore

Un mese fa ad esempio era stata scoperta una vulnerabilià che permetteva a gli utenti normali di diventare root semplicemente eseguendo un programma apposta.
Se avessi usato Debian un utente avrebbe potuto scaricarsi il programma dal browser, eseguirlo e diventare root, in barba a tutte le protezioni che avevi messo.
Su Fedora non avrebbe funzionato, perche le policy di SELinux erano in grado di bloccare l'exploit.

E un po piu macchinoso da usare, ma se vuoi fare una cosa seria credo che sia soluzione migliore.

[firefox88]

Quote:

Originariamente inviato da arara

Un mese fa ad esempio era stata scoperta una vulnerabilià che permetteva a gli utenti normali di diventare root semplicemente eseguendo un programma apposta.
Se avessi usato Debian un utente avrebbe potuto scaricarsi il programma dal browser, eseguirlo e diventare root, in barba a tutte le protezioni che avevi messo.
Su Fedora non avrebbe funzionato, perche le policy di SELinux erano in grado di bloccare l'exploit.

E un po piu macchinoso da usare, ma se vuoi fare una cosa seria credo che sia soluzione migliore.

Il lavoro che devo fare non deve rispondere ad elevati standard di sicurezza, tuttavia apprezzo molto il tuo suggerimento e puoi stare certo che darò un'occhiata a quella soluzione.
Ciao e grazie!