AA_desktop_sxc_465495.jpg

© sxc.hu

Aufgeräumter Arbeitsplatz

Den KDE-Desktop mit dem Kiosk Admin Tool einschränken

01.12.2008 Ob Gastzugang, Surfterminal oder kindgerechter PC – mit einer abgespeckten Oberfläche machen Sie nicht nur dem Anwender das Leben leichter, sonder sorgen zugleich für die Sicherheit des Systems.

Ihr Rechner gehört nicht Ihnen allein? Zu Hause schwirrt der Nachwuchs schon mal über die Festplatte und sucht den Zugang zu Spielen oder dem geheimnisvollen Internet? Sie erlauben Gästen des öfteren kleinere Aktionen, wie eine E-Mail abzusetzen oder einen kurzen Text zu schreiben? Dann richten Sie am Besten einen Gast-Account ein für diese Mitmenschen. Mit dem Kiosk Admin Tool bestimmen Sie zudem, was im Benutzerkonto Ihrer Brut geschieht und wie weit die Möglichkeiten der Gäste reichen.

Eleganter Ansatz

Im Prinzip bringt jede moderne Desktopumgebung sehr viele Möglichkeiten zum Einrichten mit. Über viele Irrwege durch endlose Konfigurationsdateien schaffen Sie es meist, diese so abzusichern, dass bestimmte Benutzer nur vordefinierte Aktionen am Computer ausführen dürfen.

Eine eleganter Ansatz, der sich allerdings auf den KDE-Desktop beschränkt, steht seit geraumer Zeit mit dem KDE-Kiosktool [1] von Waldo Bastian bereit (siehe Kasten "Installation"). Das Werkzeug erlaubt das gezielte Einrichten eines eingeschränkten KDE-Desktops und deckt die damit wichtige Szenarien ab, um den Rechner beispielsweise kompatibel zu Schwiegermutter, Opa oder den Kinder zu machen.

Installation

Alle großen Distributoren, die auf umfangreiche Repositories zurückgreifen, dürften das nützliche Werkzeug bereits über den integrierten Paketmanager anbieten. So installieren Sie unter Kubuntu über die Synaptic-Paketverwaltung das Paket kiosktool aus dem Repository main oder setzen einfach den Befehl sudo apt-get install kiosktool in der Konsole ab. Unter OpenSuse fördert YaST ein gleichnamiges Paket zutage. Benutzer der aktuellen Version 11.0 finden im Education-Repository [3] zusätzlich das Paket kiosktool-edu-settings, welches einige voreingestellte Profile für das Kiosk Admin Tool mitbringt.

Sollten Sie wider Erwarten innerhalb Ihres Distributionsablegers keine kiosktool-Pakete finden, hilft Ihnen in jedem Fall das FTP-Verzeichnis unter [2] weiter. Dort finden Sie ein installierbares RPM und auch den Quelltext zum Selberkompilieren über den bekannten Dreisatz.

Eine Sache des Profils

Nach der Installation firmiert das Programm unter dem Namen KIOSK Admin Tool auf der heimischen Festplatte. Das erste Dialogfenster (Abbildung 1) bietet schon einige Musterprofile an, welche ihren Dienst durchaus zufriedenstellend verrichten. Sie dürfen diese aber an Ihre persönlichen Bedürfnisse anpassen. Wer unter OpenSuse das Paket kiosktool-edu-settings installiert hat, findet einige vorinstallierte Profile mehr.

Abbildung 1

Abbildung 1: Der spartanische Startbildschirm des KDE-Kiosktools zeigt eine Auswahl an vorkonfigurierten Profilen an.

Der Button Profileigenschaften erlaubt lediglich das Ändern des Profilnamens und des Beschreibungstextes. Die Rechtevergabe der zum Profil gehörenden Dateien dürfte meist zu Gunsten von root ausfallen. Verwenden Sie das KIOSK Admin Tool unter Ihrem Benutzeraccount, steht Ihnen dieser User ebenfalls für die Rechtevergabe zur Verfügung.

Über den Button Profil einrichten stellen Sie eine neue Vorgabe ein oder ändern ein vorhandenes Profil. In beiden Fällen erscheinen die zwölf Rubriken aus der Tabelle "Kiosk-Komponenten". Jede für sich enthält eine stattliche Anzahl an Beschränkungen, die Sie per Mausklick aktivieren oder deaktivieren. Im unteren Bereich des Dialogs erscheint jeweils ein ausführlicher, deutschsprachiger Hilfetext zum gewählten Eintrag.

Kiosk-Komponenten

Allgemein Einschränkungen beim Abmelden, Sperren oder Aufruf von [Alt]+[F2]
Arbeitsflächen-Symbole Symbole bestimmen und das Bearbeiten unterbinden
Arbeitsflächen-Hintergrund Hintergrund bestimmen und sperren
Bildschirmschoner Bildschirmschoner bestimmen und sperren
KDE-Menü Programmeinträge bestimmen und Bearbeiten unterbinden
Theming Einrichten/Sperren von Stil, Farben, Schrift und Theme
Kontrollleiste Einrichten/Sperren
Netzwerk Proxy Einstellen/Sperren eines Proxy-Servers im Netz
Konqueror Beispiel: Sperren von Menüeinträgen
Menü Aktionen KDE-typische Menüeinträge konfigurieren (nur KDE-Programme)
Arbeitsfläche freigeben Unterbindet die Option
Dateizuordnungen Einrichten und Sperren

Beschränkte Schwiegermutter

Da Sie ein neues Profil letztlich immer einem Benutzer zuweisen, bietet es sich an, diesen erst einmal anzulegen. Die meisten Distributionen benutzen dafür mittlerweile grafische Helferlein. YaST bringt dazu die Komponente Benutzer und Sicherheit mit. Unter Ubuntu und Derivaten wählen Sie im Menü System den Eintrag Benutzer und Gruppen. Nun dürfen Sie im Kiosktool Ihr neues Profil erstellen. Geben Sie diesem bei Bedarf ruhig den Namen Schwiegermama. Sie bekommt diesen nicht zu Gesicht. Klicken Sie auf Profil einrichten und wählen Sie zuerst die Komponente Allgemein aus.

Die Schwiegermutter sollte in jedem Fall die Programme, die ohnehin Root-Rechte erfordern, gar nicht erst sehen. Aktivieren Sie also Punkt 3 der Einschränkungsliste. Außerdem darf die Gute mit Digikam keine Fotos mehr herunterladen. Damit sie keine anderen Programme aufruft, deaktivieren Sie die Tastenkombination [Alt]+[F2]. Lesen Sie die kurzen Hilfetexte zu den weiteren Einschränkungen und nutzen Sie diese nach Bedarf.

Mit der nächsten Komponente Arbeitsflächen-Symbole lenken Sie Ihre Schwiegermutter auf das einzige Programm, das sie für das Abrufen Ihrer Mails über eine Weboberfläche benötigt: den Browser. Nach einem Klick auf den Schalter Einrichtung Arbeitsflächen-Symbole verschwindet plötzlich der Bildschirmhintergrund ihres Accounts, stattdessen erscheinen die Desktopsymbole des Gast-Accounts erscheinen. Diese bearbeiten Sie nach Belieben, indem Sie zum Beispiel alle Symbole außer jenem von Firefox löschen. Neue Symbole oder Dateiverknüpfungen richten Sie über das noch funktionierende Kontextmenü ein. Speichern Sie Ihre Änderungen über das Dialogfenster (Abbildung 2).

Abbildung 2

Abbildung 2: Eine Arbeitsfläche, auf der sich ausschließlich die wichtigen Elemente befinden, macht ungeübten Anwendern das Arbeiten leicht.

Damit der Gastbenutzer die Einstellungen nicht wieder rückgängig macht, aktivieren Sie alle drei Einschränkungen in dieser Komponente und klicken anschließend auf Fertiggestellt, um wieder zum Komponentenmenü zu gelangen. Auf die selbe Weise richten Sie auch Hintergrundbild, Bildschirmschoner und KDE-Menü ein. Eine Vorschau zeigt, wie die Konfiguration aussieht.

Wollen sie die Anzahl nutzbarer Programme begrenzen, so löschen Sie einfach alles aus dem KDE-Menü (Abbildung 3), was der Kontobesitzer nicht verwenden soll. An dieser Stelle legt sich das KDE-Menü von (Open)Suse etwas quer: Auf dessen Inhalt hat das Kiosktool keinen Einfluss. Am besten stellen mit einem Rechtsklick auf das K-Menü in der Kontrollleiste auf den KDE-Stil um und beschränken in der Komponente Kontrollleiste dessen Veränderbarkeit.

Abbildung 3

Abbildung 3: Mit wenigen Mausklicken stellen Sie einen Desktop zusammen, der lediglich Büroaufgaben und das Abrufen von E-Mails zulässt.

Um die Möglichkeiten noch weiter einzuschränken, verbieten Sie das Anwender, die Arbeitsfläche freizugeben. Die entsprechende Komponente im Kiosktool heißt Arbeitsfläche freigeben. Damit verhindern Sie, dass ungebetene Gäste auf den Desktop zugreifen. Falls auf Ihrem System bereits ein Proxyserver läuft, um unerwünschte Webinhalte zu filtern, wie dies zum Beispiel Dansguardian [4] erledigt, definieren Sie diesen über die Komponente Netzwerk Proxy. Der Button Einrichtung Netzwerk Proxy ruft das entsprechende KDE-Kontrollmodul auf, in dem Sie Ihren Proxyserver einrichten.

TIPP

Wollen Sie dem Account den Internetzugang verbieten, dann geben Sie doch einfach unter Netzwerk Proxy einen nicht vorhandenen Proxy an. Die Internetaufrufe laufen für den Benutzer dann ins Leere.

Haben Sie alle Einschränkungen auf Sinnhaftigkeit überprüft, gilt es noch das erstellte Profil einem Nutzer oder gar einer ganzen Gruppe zuzuweisen. Unter dem entsprechenden Schalter im Hauptmenü verwenden Sie im Beispiel lediglich das Konto der Schwiegermutter und stellen im Dialog Benutzer Policy hinzufügen Account- und Profilname ein.

Zum Speichern des Profils in den Ordner /var/lib/kde-profiles nutzt das Kiosktool einen SSH-Zugang zum Root-Account Ihres Rechners. Den Bereich Gruppen Policies benötigen Sie zum Beispiel in Firmen, sobald sämtliche Rechner der Gruppe mitarbeiter die gleichen Vorgaben haben sollen.

Mit wenigen Handgriffen gestalten Sie also KDE zu einem reinen Surf-Terminal um. Mit ein wenig Know-how zur Konfiguration eines geeigneten Webfilters bestimmen Sie sogar den Inhalt, den dieser Webbrowser anzeigt. Die derzeit benutzbaren Komponenten erlauben aber auch das Herstellen eines reinen Büroarbeitsplatzes oder eines Benutzerkontos für die Jüngsten, mit dem diese den PC erkunden, ohne die Systemsicherheit zu gefährden.

Fazit

In Zusammenarbeit mit Bordmitteln, wie Quota und Proxy-Servern, sichern Sie ein Linux-System zwar noch weiter ab. Clevere Zeitgenossen finden jedoch auch weiterhin Möglichkeiten, die Restriktionen des Kiosktools zu umschiffen. Für einfache Arbeitsplätze oder heimische Surf-Terminals reicht der Funktionsumfang aber allemal aus.

Leider pflegen die die Entwickler die Software derzeit nicht mehr und implementieren auch keine neuen Features. Trotzdem geben bereits die Komponenten des Kiosktools Ihnen ein ausgezeichnetes Werkzeug an die Hand, mit dem Sie in wenigen Handgriffen äußerst schnell und unkompliziert die Rechte eines Nutzeraccounts definieren.

Tip a friend    Druckansicht beenden Bookmark and Share
Kommentare