Forum: PC Hard- und Software "Abgeschirmte" Linux-Distri gesucht

https://porteus-kiosk.org/

Marcus L. schrieb:
> möchte dort ein älteres Laptop den
> Gästen für den alleinigen Internetzugang und evtl. das Nutzen eines
> einfachen Textprogrammes zur Verfügung stellen.

Du willst also die Hardware zur Verfügung stellen? Da gibt es keine 
sichere Abschottung, wer physikalischen Zugang hat kann auch alle 
Zugangsbeschränkungen aushebeln, um mit einem einfachen Beispiel 
anzufangen: Man lädt das von dir abgedichtete Linux-BS garnicht erst, 
sondern bootet was anderes. Da gibt es unzählige Möglichkeiten.

Ich gehe mal davon aus, dass ein Gast-WLAN wie es Fritzboxen anbieten 
weitgehend sicher ist, aber nur solange man an die Fritzbox nicht 
rankommt.

Georg

georg schrieb:
> Marcus L. schrieb:
>> möchte dort ein älteres Laptop den
>> Gästen für den alleinigen Internetzugang und evtl. das Nutzen eines
>> einfachen Textprogrammes zur Verfügung stellen.
>
> Du willst also die Hardware zur Verfügung stellen? Da gibt es keine
> sichere Abschottung, wer physikalischen Zugang hat kann auch alle
> Zugangsbeschränkungen aushebeln, um mit einem einfachen Beispiel
> anzufangen: Man lädt das von dir abgedichtete Linux-BS garnicht erst,
> sondern bootet was anderes. Da gibt es unzählige Möglichkeiten.
>
> Ich gehe mal davon aus, dass ein Gast-WLAN wie es Fritzboxen anbieten
> weitgehend sicher ist, aber nur solange man an die Fritzbox nicht
> rankommt.
>
> Georg

Naja, es wird eher darum gehen Oma Ulla daran zu hindern das OS zu 
zerstören, nicht um die Abwehr von Profi Hackern.

LG

Bankomaten sind Windows-basiert, bei Internet-Terminals dürfte es 
ähnlich aussehen. Ansonsten kann ich mich georg nur anschließen: Wenn 
physischer Zugriff auf die Hardware besteht, kann man so allenfalls 
Laien abhalten bzw. braucht schon Hardware, bei der sich der Zugang zum 
BIOS oder UEFI sicher per Passwort schützen lässt damit man z.B. die 
Bootreihenfolge nicht ändern kann. Viel wichtiger wäre der Schutz des 
Netzwerkzugangs, was bei einer FritzBox kein Problem sein sollte, setzt 
man ein entsprechend kompliziertes Passwort.

Aber warum Hardware bereitstellen? Heute hat doch jeder Hinz und Kunz 
ein Smartphone in der Tasche und sehr viele einen eigenen Laptop.

georg schrieb:
> Marcus L. schrieb:
>> möchte dort ein älteres Laptop den
>> Gästen für den alleinigen Internetzugang und evtl. das Nutzen eines
>> einfachen Textprogrammes zur Verfügung stellen.
>
> Du willst also die Hardware zur Verfügung stellen? Da gibt es keine
> sichere Abschottung, wer physikalischen Zugang hat kann auch alle
> Zugangsbeschränkungen aushebeln, um mit einem einfachen Beispiel
> anzufangen: Man lädt das von dir abgedichtete Linux-BS garnicht erst,
> sondern bootet was anderes. Da gibt es unzählige Möglichkeiten.

und ebenso unzählige Möglichkeiten die Stolpersteine so anzuordnen das 
es für den Gastnutzer einfach nur zach ist...

Nun... einer meiner älteren Laptops, ein Acer TM8172 speichert das 
Bios-Kennwort irgendwo im Flash und nicht im CMOS-RAM und es gibt  kein 
default-Passwort. Ein CMOS-löschen hilft also genau nix.

Damit kann man relativ sicher das Booten von anderen OS verhindern. Die 
einzige Möglichkeit besteht sich aus dem Netz eine SW zu verschaffen, 
die dieses Bios-PW löscht. Dazu braucht man aber einen anderen Rechner 
mit USD<>SATA-adapter oÄ, damit man die Festplatte, die man einbauen muß 
(andere Bootmöglichkeit gibt es ja nicht) präparieren kann. Wenn man 
dann noch perfide und ausreichend paranoid jede der Schrauben die man 
lösen muß um die Festplatte zu tauschen mit einem anderen Kopf versieht 
und diese dann mit Sigellack markiert... den Gast möchte ich sehen der 
mit dem Werkzeug anrückt um das zu überwinden.

Die Hürde diesen Schutz auszuhebeln ist ausreichend hoch um es nach den 
ersten Versuchen sein zu lassen.

Natürlich kann man ein Linux auf einer SSD mithaben, die man einbauen 
kann (mit Windows ist das nicht ganz so einfach) und dann - unabhängig 
vom BIOS-schutz damit arbeiten kann. Aber erst einmal in das Gerät 
hineinkommen.

Und dann kommt der solide soziale Riegel:

Der funktioniert dann, wenn der Gastgeber mitteilt das alle DNS-anfragen 
geloggt werden. Damit dann nachgewiesen werden kann das kein Unheil 
verursacht wurde und wenn doch eins geschehen ist - der Urheber damit 
dingfest gemacht werden kann.

Das ist ausreichend abschreckend.

BTDT während einem Jahr mit ca. 50 Leuten an 10 PCs unterschiedlichster 
Bauform - bis dato hat es noch niemand auch nur annähernd versucht die 
Hürden zu überwinden.

Marcus L. schrieb:
> Ich habe eine Ferienwohnung und möchte dort ein älteres Laptop den
> Gästen für den alleinigen Internetzugang und evtl. das Nutzen eines
> einfachen Textprogrammes zur Verfügung stellen.

Vergiss den Mist!
Die Gäste feixen nur über deine Idee, denn sie haben viel 
leistungsfäherige Hardware mit im Koffer.
Und bewerten deine Ferienwohnung als nicht internetfähig.

Also mach ein Gäste-WLAN auf.
Und/Oder einen Hotspot deines Providers.

Bei der Telekom das WLAN To-Go.
Vodafone hat, glaube ich, sowas auch.

Die Frage hat er hier doch schon einmal gestellt.

Vor ein paar Monaten wurden hier die gleiche Frage mit dem gleichen 
Problem gestellt und n Leute haben sich den Arsch aufgerissen die Frage 
zu beantworten.
Schon traurig, dass der Threadstarter nicht einmal in seinem eigenen 
alten Thread nachschaut.