Gast account en toegangsrechten

[Cargamel]

Hoi, In mijn Linux systeem zie ik standaard geen “Gast” account. Kan wel worden aangemaakt, maar dan moet ik een wachtwoord specificeren (blanco pikt ‘ie niet) en er kan meer dan alleen maar internetten, zoals Office gebruiken en tekst opslaan. Dat is meer dan ik wil. Hoe kan ik de toegangsrechten van Gast beperken tot alleen internet?

[vanadium]

De login manager van Gnome ondersteunt geen gastsessies. Vandaar dat die op Ubuntu niet meer beschikbaar zijn. Het is mogelijk LightDM te gebruiken, en dan zijn gastaccounts mogelijk. Het alternatief is zelf een gewoon account aanmaken en dat aanpassen om de toegang te beperken, maar dat wordt wat technisch.

[Cargamel]

Las op internet een interessant artikel over beveiliging van MacOS (https://www.computable.nl/artikel/opinie/security/7061579/1509029/ook-mac-kwetsbaar-voor-cybercrime.html?utm_source=computable.nl&utm_medium=email&utm_campaign=dagelijkse_update&utm_content=topblok) en dacht meteen dat Linux straks mogelijk ook op de lijst staat voor cybercriminelen. Ongeacht systeem, werkend als “Gast” voorkom je al een heleboel Spyware, Trojaanse paarden, en andere ongein op je systeem, maar nog geen leverancier gehoord die een koper hiervan op de hoogte brengt. Elke doorsnee gebruiker zit op z’n systeem te werken als beheerder, met alle gevolgen van dien. Maar helaas, ook Linux is standaard niet voorzien van een Gast account zo blijkt nu. Vaag me af of een aangemaakte Gast account ZONDER admin-rechten net zo veilig is als een Gast account zoals ik bedoel. Steeds switchen van Display Manager lijkt me geen handige optie. 

[ajjp]

Gast of gebruiker, niemand heeft in Linux zonder meer root-rechten. Daarvoor is een sudo-password nodig.

[vanadium]

Een gewoon account zonder beheerdersrechten geeft al heel wat veiligheid:  die gebruiker kan absoluut niet in de systeembestanden, en kan enkel klooien binnen zijn eigen home folder. Een "echte" gastaccount, zoals dat met LightDM wel kan, houdt ook in dat het account na het uitloggen "gereset" wordt, maar voor zover ik weet, is dat het enige verschil met een regulier account.

Een account kan je altijd wel wat verder dichttimmeren, maar dan wordt het wat technischer.
- Je kan programmastarters verbergen, zodat alleen de gewenste toepassingen in het gebruikersmenu getoond worden
- Je kan zoekpaden verwijderen, zodat programma's niet via de terminal kunnen gestart worden
- Je kan bij uitloggen een script laten lopen dat het account reset.

Wil je dat die gebruiker enkel internettoegang heeft, dan zou je bijvoorbeeld enkel een windowmanager kunnen opstarten, zoals openbox, die automatisch de browser opstart, en de gebruiker uitlogt als de browser afgesloten wordt, enz...

[partyrabbit]

Gast of gebruiker, niemand heeft in Linux zonder meer root-rechten. Daarvoor is een sudo-password nodig.

Maar een gast kan bv niet standaard bij de bestanden van andere gebruikersaccounts. Een beperkte-gebruiker of beheerder-gebruiker standaard wel. 
Lees ook https://forum.ubuntu-nl.org/index.php?topic=97383.0

En zo zijn er nog wat meer zaken die apart beperkt zijn of kunnen worden.

[ajjp]

@partyrabbit
Dat is waar, maar daar lag het bezwaar van Cargamel -zoals ik het begrepen had- niet. Hij wil niet dat een gebruiker admin-rechten heeft en zo malware kan installeren.

[jan11000]

Kun je misschien 2 harde schijven inbouwen in je pc?

1e hd voor jezelf, waar jij alleen in kan loggen.
2e hd om een kiosk te maken, daar heb je dacht ik software voor, of een 2e linux sysyeem voor de andere gebruiker.
Via grub een keuze laten maken.

Zelf heb ik een sata switch waar je 4 of 6 hd' s kunt aan of uitzetten, dus meerdere operating systems kunt testen.

[Ronaldus]

https://www.amazon.nl/Richer-R-schakelaars-harde-schijfstation-omschakelaar-interfaces/dp/B07FYJ2NJB/ref=pd_sbs_60_2/257-3501509-2552266?_encoding=UTF8&pd_rd_i=B07FYJ2NJB&pd_rd_r=19f3a761-c315-4f50-a842-6e94b7d7cff7&pd_rd_w=6T8Ln&pd_rd_wg=MUf0Z&pf_rd_p=67ccc885-9e22-4c95-bb9a-89137b40b900&pf_rd_r=Z8P0W8WTTW33225CZ9K1&psc=1&refRID=Z8P0W8WTTW33225CZ9K1

[Ronaldus]

Zoiets:

https://www.amazon.nl/Richer-R-schakelaars-harde-schijfstation-omschakelaar-interfaces/dp/B07FYJ2NJB/ref=pd_sbs_60_2/257-3501509-2552266?_encoding=UTF8&pd_rd_i=B07FYJ2NJB&pd_rd_r=19f3a761-c315-4f50-a842-6e94b7d7cff7&pd_rd_w=6T8Ln&pd_rd_wg=MUf0Z&pf_rd_p=67ccc885-9e22-4c95-bb9a-89137b40b900&pf_rd_r=Z8P0W8WTTW33225CZ9K1&psc=1&refRID=Z8P0W8WTTW33225CZ9K1

[Cargamel]

@jan11000
Heb al meerdere HD's op mijn computer; 1 HD met SUSE als opstart systeem (en Windows) en 2e HD met (primair) Xubuntu en sec., Kubuntu en Mint.  Ik kan Kubuntu wel gebruiken als testsysteem.  Gaat 't niet goed, dan pech 

[Cargamel]

@ajjp
Goed begrepen. Gewoon inloggen als Gast, internetten (werken "in de cloud") en uitloggen, zonder (onbewuste) malware op het systeem. Dus ook geen mogelijkheid tot downloaden in eigen map.

[partyrabbit]

@partyrabbit
Dat is waar, maar daar lag het bezwaar van Cargamel -zoals ik het begrepen had- niet. Hij wil niet dat een gebruiker admin-rechten heeft en zo malware kan installeren.

Beperkte gebruiker dan. Toch?! 
Ik heb op elke pc ook maar 1 admin user, en de rest zijn beperkte gebruikers. Kunnen ze hooguit hun eigen account verpesten (in heel extreme gevallen!! want gewoon installeren kunnen ze dan toch al niet meer) die de admin makkelijk weer kan herstellen.
Zelfs op hun eigen computer maak ik een admin aan voor beheer, met daarnaast een beperkte gebruiker voor het gewone dagelijkse werk.

Als je dan ook nog van elke gebruiker zijn bestanden chmod zoals omschreven in de link van Pjotr  kan er al helemaal niets meer gebeuren.