Linux absichern

[little_skunk]

Guten Tag

Ich bin sozusagen Ausbilder für Fachinformatiker. Ich würde mich selber nicht so bezeichnen aber es läuft darauf hinaus. Momentan bieten wir unseren Auszubildenden ein Windows XP mit kompletten Adminrechten aber sie dürfen keine Datenträger(USB, CD Rom oder 2. Festplatte) anschließen. Es läuft ein Systemdienst, der diese sofort deaktivieren würde. Wir haben zusätzlich noch die Möglichkeit uns Screenshots vom PC schicken zu lassen. Wir haben damit sehr gute Erfahrungen gemacht. Die Azubis wissen, dass sie überwacht werden können und halten sich an die Regeln, sodass wir sie garnicht überwachen müssen.
Nun hätte ich etwas ähnliches gern für Linux. Sie sollen also unter Linux alle Rechte haben bis auf das Mounten eines Datenträgers. Eine Überwachungssoftware hätte ich auch gern aber die ist nicht zwingend notwendig. Ist das überhaupt möglich und worauf muss ich achten, damit die Azubis es nicht einfach wieder zurückkonfigurieren können und dann doch wieder Datenträger mounten können.
Kann man das ganze dann per pxe installieren? Welche Distribution bietet sich dafür an? Ich dachte da so an Suse11. Das hat mir bisher noch am besten gefallen.

Wie groß ist der Gesammtaufwand schätzungsweise? Wenn es so um die 35h sind, könnte ich es einem Fachinformatiker als Prüfungsprojekt geben. Das macht mir weniger Arbeit und er hat ein spannendes Projekt

 

[DelSol]

hmm... wenn ich volle rechte unter linux habe, beinhaltet das ja auch die root rechte. mit denen kann ich machen und mounten was ich will. ob das so funktioniert wie du das möchtest wage ich fast zu bezweifeln. vielleicht haben ja andere noch eine idee...

 

[Gelöschtes Mitglied 45455]

Wofür brauchen die Azubis denn root Rechte? Ansonsten kann man ja die Rechte konfigurieren wie man lustig ist.

 

[Chris_2k]

Wir haben zusätzlich noch die Möglichkeit uns Screenshots vom PC schicken zu lassen. Wir haben damit sehr gute Erfahrungen gemacht. Die Azubis wissen, dass sie überwacht werden können und halten sich an die Regeln, sodass wir sie garnicht überwachen müssen.

Seit wann ist die Überwachung am Arbeitsplatz legal?

 

[little_skunk]

Der Azubi soll sich nicht unbedingt als Root einloggen sondern als ein Benutzer der möglichst viele Rechte hat. Nach möglichkeit sogar als Root wenn das möglich ist. Er darf nur nicht meine Einstellungen rückgängig machen können.

Wie siehts mit den /dev/ Datein aus. Kann ich da einfach einen Benutzer anlegen und dem dann die Datein vermachen. Root entziehe ich dann einfach alle Rechte und dann sollte er ja nicht mehr in der Lage sein die Geräte zu mounten oder sehe ich mit meinem gefährlichen Halbwissen etwas falsch?

Zum Thema überwachung. Wir müssen an dieser Stelle keine Diskusion darüber ausbrechen lassen. Es ist legal. Die Gründe dafür werde ich an dieser Stelle nicht schon wieder erläutern. Bitte versteh es nicht falsch aber diese Diskussion nervt einfach. Nehmt es einfach mal so hin. Es ist legal und ich will es so. Ob es sinnvoll ist oder nicht spielt dabei keine Rolle. Volle Adminrechte bedeutet eben auch ein gewisses Risiko und Vertrauen ist gut und Kontrolle ist besser.

 

[Hammerhai]

http://de.wikipedia.org/wiki/Sudo

 

[little_skunk]

wenn ich das richtig verstanden habe, dann bin ich root und konfiguriere das "Sudo" so, dass jeder Benutzer die Befehle ausführen darf, die sonst nur root hat. Soweit ich weiß gehört aber mount nicht zu diesen Befehlen. Wie kann ich jetzt also verhindern, dass der Benutzer einen Datenträger mountet?

 

[Hammerhai]

http://www.pcwelt.de/index.cfm?pid=1775&pk=38948&p=12

 

[Lord_Bender]

http://wiki.ubuntuusers.de/PolicyKit

 

[little_skunk]

Super. Das hat erstmal alle meine Fragen beantwortet. Ich weiß also schon wie ich mein Linux konfigurieren muss. Damit sollte dem ganzen nichts mehr im Wege stehen. Ich kann es leider vermutlich erst am nächsten Montag testen. Ich meld mich dann einfach wenns noch Probleme geben sollte.

 

[Hammerhai]

Hier werden Sie geholfen!