Comment restreindre l'usage pour un poste libre service ?

Murmure · Le 30/10/2008, à 12:20

Bonjour à tous,

Je souhaite mettre en place un poste en libre service en salle de pause dans mon entreprise afin que tout le monde puisse aller sur internet.

Je souhaite faire ça sous Ubuntu.

Je veux que :

- L'utilisateur puisse seulement naviguer sur internet.
- Il ne puisse télécharger des fichiers QUE vers sa clé USB qu'il aurait branchée sur le poste.
- Il lui soit impossible d'accèder à une console, de bidouiller le bureau, la résolution, ou autre
- qu'il ne puisse pas explorer le réseau de la boite.

Connaissez vous des docs qui pourraient m'aider dans mon projet ?
Avez vous mis en place quelque chose d'approchant ?

Bref, je suis preneur de tout conseil/info disponible avant de commencer ce projet.

Merci de votre aide !

Murmure · Le 31/10/2008, à 10:14

Personne n'a une idée ?

wsaintcr · Le 31/10/2008, à 12:01

bonjour,

- mettre en place un routeur type Dlink 604 à 30 € entre le réseau de l'entreprise et le PC. Le routeur prenant une @ip du réseau local de l'entreprise, ainsi que la conf passerelle et DNS sur sa partie WAN (Le WAN pour le routeur sera le LAN de l'entreprise).
- activer le serveur DCHP sur le routeur coté LAN
- Connecter le PC sur le LAN du routeur
- retirer le Hd du PC
- mettre un CD Live Ubuntu et booter.

Certes l'utilisateur peut tout faire mais sans disque dur, ni accès au LAN de l'entreprise ce sera difficile de faire trop de mal. A chaque reboot Ubuntu sera préconfiguré LiveCD.

ikehOn · Le 04/11/2008, à 15:44

Encore plus simple mettre en place un client léger ... uniquement Internet et la clés USB.

S'il modifie reboot de la machine et Hop comme neuf ... ca vaut entre 150 et 300 € HT chez HP ou Wise.

wsaintcr · Le 04/11/2008, à 21:04

mumure était pressé d'avoir une réponse mais maintenant qu'il y en a 2, pas de nouvelle.

Murmure · Le 07/11/2008, à 09:16

wsaintcr a écrit :

mumure était pressé d'avoir une réponse mais maintenant qu'il y en a 2, pas de nouvelle.

Désolé j'ai eu beaucoup de boulot j'ai pas eu le temps de revenir voir ... sorry

Le problème c'est que ça doit se faire sans dépense ... Je pense que je vais tenter de partir d'un live CD.

Je vous tiens au courant

yleetiny · Le 07/11/2008, à 09:38

moi, bien que j'ai jamais fait, j'aurai dit :
1- des chmod et chown : pour les droits de fichiers, en gros on dit que tout les fichiers appartiennent à (root), et on interdit l'écriture : on prévient toute modifications.
1bis- il y a un autre outil dont je sais plus le noms qui permet d'empêcher toute modification sur les fichiers ext2/3 aussi.

2- on change le "PATH", pour filtrer son choix d'application logiciel, on fait des "ln -s" pour cela, je conseille quand même d'autoriser, nautilus le navigateur de fichiers, et les programmes de bureautique.
3- je crois que dans les options d'utilisateurs on peut choisir les niveaux de droits : à quel service il a droit ou pas...
4- on paramètre l'auto-login : comme cela l'utilisateur se connecte automatiquement lors du démarrage de l'ordi, il ignore également son mot de passe

Par contre, je comprends pas bien à quoi cela sert un ordi qui va sur internet, et qui a une clé usb pour télecharger des trucs alors qu'on pourra quasiment plus les ouvrir.
J'avoues que franchement de simples chown et chmod, voire "la comande dont je me souviens plus" devrait suffire. L'utilisateur pourra voir, utiliser des programmes mais rien modifier, et je pense que c'est le plus important non?

seb0uil · Le 07/11/2008, à 09:46

yleetiny a écrit :

1- des chmod et chown : pour les droits de fichiers, en gros on dit que tout les fichiers appartiennent à (root), et on interdit l'écriture : on prévient toute modifications.
1bis- il y a un autre outil dont je sais plus le noms qui permet d'empêcher toute modification sur les fichiers ext2/3 aussi.

on peut aussi simplement monter les partitions en lecture seule, ca n'empêche pas de modifier le cas échéant les droits pour éviter que n'importe qui n'ouvre n'importe quoi. Mais par défaut, rien de sensible dans les éventuelles fichiers ouvrables...

roger64 · Le 07/11/2008, à 09:54

bonjour

et la session "invité" d'Intrepid, elle n'est pas faite pour ça ?

Murmure · Le 07/11/2008, à 10:04

Autre solution ; créer un user avec des droits très limités.

Quelqu'un peut me donner la marche à suivre pour lui désactiver les menus Applications / Raccourcis / Système afin que le bouton d'Arrêt ?

Comment l'empêcher d'écrire sur le disque dur ?

Merci ...

Murmure · Le 07/11/2008, à 10:07

Murmure a écrit :

Autre solution ; créer un user avec des droits très limités.
Quelqu'un peut me donner la marche à suivre pour lui désactiver les menus Applications / Raccourcis / Système afin que le bouton d'Arrêt ?
Comment l'empêcher d'écrire sur le disque dur ?
Merci ...

Arf, vous m'avez pris de court ! je tente de tester ...

Murmure · Le 07/11/2008, à 10:28

Comment on monte la partoche système en lecture seule ? via grub ou via FSTAB ? Quels commutateurs rajouter?

Murmure · Le 07/11/2008, à 10:33

Comment on monte la partoche système en lecture seule ? via grub ou via FSTAB ? Quels commutateurs rajouter?

(je teste mon nouveau compte d'ou le doublon )

Xarkam · Le 07/11/2008, à 10:46

le montage R se fait dans le fstab.
Le mieux serais d'avoir une home invité en lecture seul car tu a besoin de /tmp en RW pour les sessions.

Murmure · Le 07/11/2008, à 11:22

Bon alors soucis : j'ai mis mes partoches en lecture seule mais du coup X ne se lance plus ... des idées ?

seb0uil · Le 07/11/2008, à 11:24

Murmure a écrit :

Bon alors soucis : j'ai mis mes partoches en lecture seule mais du coup X ne se lance plus ... des idées ?

comme indiqué par Xarkam, fait attention a ce que /tmp (et accessoirement /var/log) soit en ecriture.
Au besoin, tu peux toujours les créer après en ramfs

Murmure · Le 07/11/2008, à 11:30

seb0uil a écrit :

Murmure a écrit :
Bon alors soucis : j'ai mis mes partoches en lecture seule mais du coup X ne se lance plus ... des idées ?
comme indiqué par Xarkam, fait attention a ce que /tmp (et accessoirement /var/log) soit en ecriture.
Au besoin, tu peux toujours les créer après en ramfs

Comment exclure ces deux répertoires de l'attribut RO collé par mon fstab dés le démarrage ?
(je n'arrive d'ailleurs même plus à le modifier lui même mais bon c'est une machine virtuelle c'est pas grave :d)

Xarkam · Le 07/11/2008, à 11:58

Avoir /tmp et /var sur des partitions différentes.
Mais il ne faut pas oublier de remonter de temps en temps / en écriture pour les update.

fait un sudo mount -o remount,rw / pour ravoir le système de fichiers en écriture.

Dernière modification par Xarkam (Le 07/11/2008, à 12:01)

Murmure · Le 07/11/2008, à 12:10

Xarkam a écrit :

Avoir /tmp et /var sur des partitions différentes.
Mais il ne faut pas oublier de remonter de temps en temps / en écriture pour les update.
fait un sudo mount -o remount,rw / pour ravoir le système de fichiers en écriture.

Sur un disque dur de 30Go quelle taille donner à ces 2 partitions /tmp et /var ?

Merci !

Murmure · Le 10/11/2008, à 10:54

Alors j'ai fait :

- Une partition pour / --> RO
- Une partition pour /home --> RO
- Une partition pour /var --> RW
- Une partition pour /temp --> RW

Et le système ne boote tjrs pas ... des idées ?

Xarkam · Le 10/11/2008, à 11:40

regarder les messages de log.

Ner0lph · Le 10/11/2008, à 15:05

Murmure a écrit :

Je veux que :
- L'utilisateur puisse seulement naviguer sur internet.
- Il ne puisse télécharger des fichiers QUE vers sa clé USB qu'il aurait branchée sur le poste.
- Il lui soit impossible d'accèder à une console, de bidouiller le bureau, la résolution, ou autre
- qu'il ne puisse pas explorer le réseau de la boite.

Pourquoi limiter autant ? (Cette question peut permettre de mieux cerner tes besoins.)

----

En attendant, tu peux essayer les choses suivantes :
- la session "Invité" de Ubuntu 8.10 en en modifiant quelques droits (je n'ai pas la 8.10, je ne sais pas à quoi ressemble cette sessions invitée, peut-être un utilisateur spécifique ?) ;
- ôter le disque dur de la machine et utiliser un Live CD + un petit pare-feu matériel (un petit PC avec IPCOP par exemple) ;
- ôter le disque dur de la machine et utiliser un Live USB (clé USB bootable comme un Live CD, dans ton cas, tu pourrais la cacher à l'intérieur de la machine) + un petit pare-feu matériel (un petit PC avec IPCOP par exemple) ;
- etc.

Dernière modification par Ner0lph (Le 10/11/2008, à 15:07)

LegSim · Le 10/11/2008, à 15:30

Sinon, pourquoi ne pas installer Ubuntu, puis créer un utilisateur avec des droits très limités ?

blackenergy · Le 11/11/2008, à 01:44

En cherchant sur le forum, j'ai trouvé cette solution assez élégante :
http://forum.ubuntu-fr.org/viewtopic.php?id=159992

omorin · Le 15/11/2008, à 09:09

Bonjour

J'ai fait ça pour ma mairie, je dois faire une doc.

J'ai utilisé une 8.04 car LTS.

En fait il faut créer un utilisateur et lui modifier ses droits avec le menu standard de gestion des utilisateur.

En suite il faut modifier ses menus avec le gestionnaire de menus.

Avec gconf-editor il faut lui interdire des choses.

Enfin, il faut faire une archive de son /home/x et la restaurer à chaque connexion de l'utilisateur.

Pour la partie réseau, différents pistes :
- vlan,
- sous réseau différent,
- boite noire entre le poste et le réseau (ipcop par exemple)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/10/2008, à 12:20

Comment restreindre l'usage pour un poste libre service ?

#2 Le 31/10/2008, à 10:14

Re : Comment restreindre l'usage pour un poste libre service ?

#3 Le 31/10/2008, à 12:01

Re : Comment restreindre l'usage pour un poste libre service ?

#4 Le 04/11/2008, à 15:44

Re : Comment restreindre l'usage pour un poste libre service ?

#5 Le 04/11/2008, à 21:04

Re : Comment restreindre l'usage pour un poste libre service ?

#6 Le 07/11/2008, à 09:16

Re : Comment restreindre l'usage pour un poste libre service ?

#7 Le 07/11/2008, à 09:38

Re : Comment restreindre l'usage pour un poste libre service ?

#8 Le 07/11/2008, à 09:46

Re : Comment restreindre l'usage pour un poste libre service ?

#9 Le 07/11/2008, à 09:54

Re : Comment restreindre l'usage pour un poste libre service ?

#10 Le 07/11/2008, à 10:04

Re : Comment restreindre l'usage pour un poste libre service ?

#11 Le 07/11/2008, à 10:07

Re : Comment restreindre l'usage pour un poste libre service ?

#12 Le 07/11/2008, à 10:28

Re : Comment restreindre l'usage pour un poste libre service ?

#13 Le 07/11/2008, à 10:33

Re : Comment restreindre l'usage pour un poste libre service ?

#14 Le 07/11/2008, à 10:46

Re : Comment restreindre l'usage pour un poste libre service ?

#15 Le 07/11/2008, à 11:22

Re : Comment restreindre l'usage pour un poste libre service ?

#16 Le 07/11/2008, à 11:24

Re : Comment restreindre l'usage pour un poste libre service ?

#17 Le 07/11/2008, à 11:30

Re : Comment restreindre l'usage pour un poste libre service ?

#18 Le 07/11/2008, à 11:58

Re : Comment restreindre l'usage pour un poste libre service ?

#19 Le 07/11/2008, à 12:10

Re : Comment restreindre l'usage pour un poste libre service ?

#20 Le 10/11/2008, à 10:54

Re : Comment restreindre l'usage pour un poste libre service ?

#21 Le 10/11/2008, à 11:40

Re : Comment restreindre l'usage pour un poste libre service ?

#22 Le 10/11/2008, à 15:05

Re : Comment restreindre l'usage pour un poste libre service ?

#23 Le 10/11/2008, à 15:30

Re : Comment restreindre l'usage pour un poste libre service ?

#24 Le 11/11/2008, à 01:44

Re : Comment restreindre l'usage pour un poste libre service ?

#25 Le 15/11/2008, à 09:09

Re : Comment restreindre l'usage pour un poste libre service ?

Pied de page des forums