Lernstick und sudo su

[j.sch...@sachsenbrunn.at]

Mit diesem Stick kann sich jeder Benutzer zum root machen. Das kann doch "gefährlich" werden! Oder? Wie kann ich das abstellen dass Schüler per sudo su root werden?

[Rene]

Das ist ja auch sinnvoll. Was soll man mit dem Stick anfangen, wenn man diese Möglichkeit nicht hat? Außerdem sollen Linux LIVE System den Benutzer auch einladen, Sachen auszuprobieren und seine Kreativität nicht wieder wie andere strikte Systeme einschränken.

Im Teaching System oder beim reinen Lernstick mit Prüfungsumgebung wird diese Option ja eh verhindert!

LG, Rene

[Ronny Standtke]

Über die Gefährlichkeit von (auch technischen) Freiheiten lässt sich vortrefflich streiten. Unsere Position ist einfach die, dass der Benutzer auf seiner persönlichen Lern- und Arbeitsumgebung alles tun und lassen können soll, was auch immer er will.

Um dem Benutzer die sudo-Rechte zu entziehen, kannst du im Startmenü "Anwendungen -> System -> Terminal" öffnen und dort hintereinander die folgenden beiden Befehle eingeben:
  sudo bash
  rm /etc/sudoers.d/live

Viele Grüße

Ronny

[Gaudenz Steinlin]

Vorher sollte man aber ein root Passwort setzen. Sonst kann nämlich auf
diesem Stick niemand mehr root werden. Was die Administration etwas
schwierig macht. Auch wirkt sich die Änderung nur aus, wenn man mit der
Datenpartition startet. Beim booten ohne Datenpartition bleiben noch
immer die ursprünglichen Einstellungen erhalten.

Grundsätzlich gilt das gleiche auch für die Prüfungsumgebung. Ausser
dass hier standardmässig ein eigenes Passwort gesetzt wird. Aber die
Sicherheit der Prüfungsumgebung basiert wesentlich darauf, dass sie von
einer vertrauenswürdigen Person erstellt und danach ohne Manipulationen
gebootet wird. Wenn Schüler vorher ihre Prüfungssticks manipulieren
können, gibt es wenig, was Sicherheitsprobleme verhindern kann.

Ich würde das ganze aber auch eher als Vorteil sehen. Die Schüler können
mit den root Rechten ja nur ihren persönlichen Lernstick verändern. Und
im Sinne dass ihnen dieser ja auch gehören soll, finde ich das eine gute
Sache. Zudem kann ein Lernstick, falls er "zerschossen" wird ja immer
wieder auf den Ursprungszustand zurückgesetzt werden.

Gruss Gaudenz

>
> Viele Grüße
>
> Ronny
>
> --
> Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "lernstick" sind.
> Um Ihr Abonnement für diese Gruppe zu beenden und keine E-Mails mehr von dieser Gruppe zu erhalten, senden Sie eine E-Mail an lernstick+...@googlegroups.com.
> Wenn Sie Nachrichten in dieser Gruppe posten möchten, senden Sie eine E-Mail an lern...@googlegroups.com.
> Gruppe besuchen: http://groups.google.com/group/lernstick
> Weitere Optionen: https://groups.google.com/d/optout

--
Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better.
~ Samuel Beckett ~

[j.sch...@sachsenbrunn.at]

Danke für die Antwort. Diese Datei habe ich schon gefunden, Das ist jene, in der der LA-TS-user eingetragen sein muss, damit das LA-TS funktioniert. Ansonsten scheint mir der Lern-/Prüfungsstick sicher, zumindest konnte ich noch keine Sicherheitslücke konstruieren ;-)
LG
Josef

[j.sch...@sachsenbrunn.at]

Nach meinem Besuch in Solothurn schreibe ich hier noch lieber.
Vielleicht wurde ich falsch verstanden.
Der Lernstick als Lernstick ist mit seinen Möglichkeiten ein supertolles Ding. Die Speichermedienverwaltung ein Wahnsinn. Man kann sich mit diesem tool selber alles bauen. Und ich mache das auch.
Ich werde mir jetzt auch einen strikten Prüfungsstick bauen. Dieser wird ein sudo su nicht zulassen und er wird keinen Browser haben. Persistenz kriegt er auch nicht, somit können Prüfer die 30 Sticks, mittlerweile in einer A5 Mappe von 01 bis 30 sortiert, zur Prüfung mitnehmen und diese Sticks sind "leer". D.h. es sind nirgendwo irgendwelche Informationen drauf und auch in, bzw. out Ordner sind leer. Niemand braucht an diesen Sticks etwas vor- oder nachzubereiten. Findet da jemand einen Denkfehler? Ich bin mir da nie ganz sicher ... Natürlich setze ich ein root Passwort.
Wäre viel eleganter, wenn man HD und Internet vom LA-TS aus sperren bzw. zugänglich machen könnte. Ich schaffe das mit meiner Installation nicht.
LG
Josef

[j.sch...@sachsenbrunn.at]

Das mit dem Entziehen der sudo Recht ist nicht zielführend, weil dann das LA-TS nicht mehr funktioniert. Wir haben in userem WIn Mount System den super Befehl. der wird nur bei den skripts zugelassen, wo man ihn braucht. Diese Skripts stehen in einer /etc/super.tab. Das sollte doch auch für das LA-TS möglich sein. MAn müsste halt nur wissen, welche Skripte root Rechte brauchen ...
LG Josef

[Ronny Standtke]

Hallo Josef

Das mit dem Entziehen der sudo Recht ist nicht zielführend, weil dann das LA-TS nicht mehr funktioniert.

Um "feingranular" einzustellen, welche Skripte mit sudo-Rechten ausgeführt werden dürfen, müsstest du die Datei /etc/sudoers anpassen. Eine ganz brauchbare Beschreibung zu diesem Thema findest du z.B. hier:
http://wiki.ubuntuusers.de/sudo/Konfiguration

Ich hoffe, das hilft dir ein wenig weiter...

Herzliche Grüsse

Ronny

[j.sch...@sachsenbrunn.at]

Danke für die Antwort. Ich kann mit sudo aber auch mit super umgehen. Wie aber bringe ich in Erfahrung, WELCHE Skripte des LA-TS root Rechte benötigen?
MFG
Josef

[j.sch...@sachsenbrunn.at]

Du hast vollkommen recht. Jedoch sollten Schüler im Falle einer Prüfung per LA-TS nicht auf die HD des benutzten Rechners zugreifen können. Das kann ich nicht verhindern. Wie kann ich das anstellen?
MFG
Josef

[Ronny Standtke]

Hallo Josef

Jedoch sollten Schüler im Falle einer Prüfung per LA-TS nicht auf die HD des benutzten Rechners zugreifen können. Das kann ich nicht verhindern. Wie kann ich das anstellen?

Hatte ich die gleiche Frage nicht schonmal Anfang Juni beantwortet? ;-)
Hier nochmal die Details:

Wir haben das in der Lernstick-Prüfungsumgebung mit einer PolicyKit-Regel umgesetzt, die allerdings noch etwas restriktiver ist, siehe hier:
https://github.com/imedias/lernstickAdvanced/blob/master/wheezy-pu/config/includes.chroot/etc/polkit-1/localauthority/50-local.d/10-udisks.pkla

Wenn du alle anderen mount-Vorgänge erlauben willst, kannst du die Zeile, die mit "Action=" beginnt, so weit kürzen, dass nur noch "org.freedesktop.udisks.filesystem-mount-system-internal;" übrig bleibt. Dann sollte nur das mounten von internen Festplatten unterbunden werden.

Ich hoffe, das hilft dir etwas weiter.

LG

Ronny

[Ronny Standtke]

Hallo Josef

Wie aber bringe ich in Erfahrung, WELCHE Skripte des LA-TS root Rechte benötigen?

Da können sicherlich die Autoren (Klaus Misof und Rene Schwarzinger) am ehesten behilflich sein. Vielleicht bekommst du es ja sogar durch Ansehen der Skripte oder durch Austesten heraus...

Herzliche Grüsse

Ronny

[j.sch...@sachsenbrunn.at]

[j.sch...@sachsenbrunn.at]

ENTSCHULDIGUNG!!!!
Ich entschuldige mich bei allen, die ich mit dieser sudo geschichte belästigt habe. ich habe das LA-TS falsch bedient. tut mir leid, dass ich so lang gebraucht habe, bis ich das LA-TS Menü richtig angewendet habe. die optionen kopieren, fürs üben sperrt natürlich nix, die option prüfungsstart sperrt je nach wunsch -perfekt -danke den entwicklern.
MfG
Josef