Software-Verteilung und Unkaputtbare PCs

[neuni]

Hallo,

der Titel ist leider wenig gelungen, aber ich weiß auch nicht wie ich es ausdrücken soll. (Was die Suche beschwerlich gestaltet)

Der Plan ist es ein Netzwerk aus Rechnern und einem Server aufzubauen, bei dem die Benutzer der Rechner tun und lassen können was sie wollen, da nach einem Neustart des Rechners alles wieder beim alten ist. Leider finde ich hierfür keine Software-Lösung die z.B. Änderungen auf eine andere Partition packt die dann gelöscht wird beim Start. (So war meine Überlegung zunächst)
Des weiteren sollte Software zentral vom Server verteilt werden können, sodass diese von allen Clients automatisch beim Start installiert werden soll.

Eine Idee war den Benutzer auf sein Home zu beschränken und dieses dann wiederher zu stellen beim Start, aber ich denke das Problem wird dass ja auch die ein oder andere Software ins Home eingreift bei der Installation und somit bei einer Software-Installation per Verteilung wieder das alte Home (ohne neue Software) erstellt wird.

Weiß jemand vllt. eine Lösung für meine Probleme?

PS: Als Distri ist bisher Ubuntu angedacht.

[oxygen]

Ein ganz normales Linux System sollte dies von Haus aus tun? Ohne Rootrechte kannst du nicht viel kaputt machen. Wenn du verhindern willst, das eigene Programme ausgeführt werden reicht es mehr oder weniger beschreibare Verzeichnis (/home, /tmp) als noexec zu mounten.

[freddy36]

http://ltsp.org/ könnte interessant sein. Würde deine Anforderungen an einfaches Software einspielen perfekt erfüllen. Die Clients brauche nicht einmal ne Festplatte. Brauchst aber entsprechend leistungsfähige Server. Auch die Ausfallsicherheit will bedacht sein.

Ansonsten ist Linux von sehr Haus aus auch sehr gut dazu geeignet sowas ohne besondere Software zu erledigen. Um es noch etwas sicherer zu machen könnte man das komplette root FS read only mounten und hier und da entsprechend etwas RW mounten (Eventuell reicht eine Ramdisk + ein Netzlaufwerk für home). Ansonsten ein kleines Script was dafür sorgt das alle RW Teile bei jedem start auf einen festen zustand gesetzt werden.

Wenns dann um updaten/neue Software einspielen geht muss man dann das root fs kurz mal rw mounten. Das lässt sich aber auch mit ein paar einfachen Scripten 100% automatisieren.

[sogo]

solange der Benutzer physikalischen Zugriff auf den Rechner hat,bringen Benutzerrechte und andere Softwarebasierende Loesungen nichts.
Alternative: Auf Hardwareebene dies machen, entweder ueber einen speziellen HD Kontroller (habe mal darueber gelesen -> googlen), Diskless Rechner (Alles NFS r/o gemounted, schreibbar RAM disk mit unionfs darueber) oder Netboot+kickstart bei jedem reboot (BIOS locken nicht vergessen)

sogo

[neuni]

Also erstmal Danke für die vielen Vorschläge.
Physikalischer Zugriff besteht, aber es kann niemand die Rechner auseinander nehmen...das fällt auf. (Klassenraum)
Eine Server-Lösung sollte lieber wegfallen, da das System möglichst ausfallsicher und somit ohne Server geplant ist. (Server nur zum Verteilen neuer Software)

Ich denke auch dass man das ganz schön mit Linux hinbekommen kann das Dicht zu machen.
Dachte daran den User einzuschränken, dass er nur noch an sein home schreibend ran kann. Dann beim Start das home überschreiben durch ein standard-home das ich einmal anlege.
Bei Software-Einspielungen würde ich dann erst das Home wiederherstellen, installieren und dann das neue home als standard-home setzen, sodass das klappt auch falls die Software was ins home reinpackt bei der Installation. Meint ihr das klappt so?

[freddy36]

Schule, gibts da keine zentrale Authentifizierung für die Schüler oder so?

Wenns wirklich nur ein single user System ist was sich am besten selbst administrieren aktualisieren soll, dann würde ich beim booten einfach automatisch alle Updates einspielen lassen (am besten im lokalen netz einen mirror dafür bereitstellen). Anschließend das root Dateisystem read only mounten und mittels aufs (Nachfolger von unionfs) eine andere Partition darüberlegen, so bleibt das normale Dateisystem unberührt von jeglichen Änderungen nach dem booten. Die extra Partition dann bei jedem Boot Vorgang leer machen.

Bei neuer Software einfach die normale Partition rw mounten und direkt da die Änderungen machen.

[neuni]

Das hört sich sehr gut an.
Zentral soll das ganze halt nicht mehr sein, da sich ja doch kein Schwein sein Passwort merken kann von den Lehrern, geschweige denn Schülern.
Schalter an die Wand für Internet an/aus und Speichern auf freigegebenen USB-Stick am Lehrer-PC. Eigentlich ausfallsicher das ganze. Wenn dann kann nur Hardware ausfallen und die ist schnell ersetzbar.

Danke erstmal, ich werde das mal testen nachher. Mal gucken in wie weit ich das hinbekomme hier in meiner vm erstmal.

[grollicus]

Physikalischer Zugriff besteht, aber es kann niemand die Rechner auseinander nehmen...das fällt auf. (Klassenraum)

Also bei uns verschwindet gut zweimal im Jahr ein RAM-Riegel. Und wenn man Speicher ausbauen kann, kann man auch andere Dinge anstellen.
Du darfst nicht vergessen, dass der Computerraum idR. von Lehrern genutzt wird, und die haben etwas anderes im Sinn als sich Sorgen um die Computersicherheit zu machen. :twisted:

Greetz,
Grolli

[oxygen]

Also ich weiß nicht, wie gut sich deine Schüler mit Linux & Co auskennen, aber ehrlich gesagt kann ich mir nicht vorstellen, dass selbst ein normal installiertes System dem nicht standhält.
Mit einfachen Boardmitteln wie deaktivierten Schnittstellen, quota, resource limits, wie bereits gesagt /tmp,/home als noexec mounten sollten 99,9% alle Versuche von "Einbruch"/"Vandalismus" Versuche bleiben.
Bei vorhandenem Internetzugang sollte natürlich noch ein Proxy aufgesetzt werden.

Insbesondere die Überlegung die Homeverzeichnisse zurückzusetzten finde ich ausgesprochen Kontraproduktiv, da der Nutzen der PCs damit deutlich eingeschränkt wird.

[freddy36]

Wenn wirklich alle Schüler unter einem User Arbeiten sollen und es keine zentralen Netzlaufwerke gibt macht das schon Sinn da Regelmäßig aufzuräumen.

Ich würde da aber auch eine extra Partition für nehmen. Das Aufräumen findet nur beim Ordnungsgemäßen Abmelden stat. So kommt es zu keinem Datenverlust bei einem Stromausfall oder sonstigen ungeplanten reboots.

[neuni]

Also die Vandalismusdorge habe ich kaum. Momentan ist ein Linux installiert das komischer Weise nicht abgesichert wurde und es wird erstaunlich wenig Blödsinn gemacht. RAM ist noch nie verschwunden oder Ähnliches. (Abgesehen von Mauskugeln damals )

Also das "aufs" scheint genau zu sein was ich brauche denke ich. Ich werde das mal testen nachher und meine Erfahrungen berichten.

Gibt es vllt. weite Informationen wie ich am besten Software verteilen kann per eigenem Mirror im Netzwerk oder anderen Prinzipien? Würde gerne ein Paket bereitstellen auf dem Server dass dann alle Clients bei deren Start einmal ziehen und installieren.

[freddy36]

Ich hab sowas mal über einen zentralen Server geregelt, da lief ein SSH Daemon, bei jedem booten haben die Clients sich kurz (per public Key Authentifizierung) bei dem Server gemeldet. Der Client hat ein paar Daten (MAC Adresse, Eine Eigene Versionsnummer, Hardware Informationen, Distribution, Kernel Version, etc.) gesendet. Auf dem Server lief dann ein Script welches diese Daten ausgewertet hat (Hauptsächlich anhand der MAC Adresse+der für diesen Zweck eingerichtete Versionsnummer). Falls bedarf an Updates war hat der Server entsprechende Befehle zurückschickt. Die Befehle werden dann auf dem Client ausgeführt.

Das ganze könnte man auch z.B. auch per HTTPS, wichtig ist nur das der Client sichergehen kann das der Server auch der ist der er Vorgibt (das muss das Client Script natürlich auch validieren), sonst hast du da ganz schnell irgendwelche fake Update Server im Netz die dir dann direkt alle Clients vollautomatisch kompromittieren. Der Server sollte natürlich auch ordentlich abgesichert werden, an solche System zu kommen ist der Traum eines Jeden Botnetz Betreibers.

Was für eine Distribution willst du den einsetzen?

[neuni]

Denke mal ich werde openSuSe nehmen, da ich da auch schon sehr gute Erfahrungen im Serverbereich mit gemacht habe.
Plage mich grade damit rum aufs zu installieren, bzw die Funktionsweise zu verstehen. Hat da jemand eine gute Einleitung zu wie man das ganze aufsetzen muss?

[freddy36]

suse, da kann ich dir nicht weiterhelfen. In der Doku zu aufs steht eigentlich alles drin was man wissen muss.
Ich weis nicht wie es mit den Suse Kernel aussieht, normalerweise muss man da selber ran un aufs mit kompilieren.

[neuni]

HILFE! <-- Das ist ein Hilfeschrei :-)

Also aufs bzw unionfs funktioniert doch so: (oder?)
Ich gebe Ihm 2 Ordner in meinem Fall und setzte einen weiteren, der dann quasi die Kombination aus Ihnen ist. 1. lesend, 2. kommt das rein was man schreibt.
Soweit so klar.
Wie bekomme ich es aber nun hin 2 Partitionen zu erstellen, sodass die mit dem SuSE die Read-Only ist und eine 2. wo die temporären Daten hinkommen. Müsste doch gehen oder?
Stellt sich einfach die Frage wie.

[freddy36]

HILFE! <-- Das ist ein Hilfeschrei :-)

Also aufs bzw unionfs funktioniert doch so: (oder?)
Ich gebe Ihm 2 Ordner in meinem Fall und setzte einen weiteren, der dann quasi die Kombination aus Ihnen ist. 1. lesend, 2. kommt das rein was man schreibt.
Soweit so klar.
Wie bekomme ich es aber nun hin 2 Partitionen zu erstellen, sodass die mit dem SuSE die Read-Only ist und eine 2. wo die temporären Daten hinkommen. Müsste doch gehen oder?
Stellt sich einfach die Frage wie.

So könnte es aussehen wenn es alles fertig gestartet ist:
/dev/md1 (ro root) nach /mnt/rootro options:ro
/dev/md2 (ro home) nach /mnt/homero options:ro,nosuid,nodev,noexec
/dev/md3 (rw home) nach /mnt/homerw options:rw,nosuid,nodev,noexec
tmpfs (rw root) nach /mnt/rootrw options: rw,noexec,nosuid,nodev
aufs (neues root) nach / options: rw,dirs=/mnt/rootrw=rw:/mnt/rootro=ro
aufs (neues home) nach /home options: rw,nosuid,nodev,noexec,dirs=/mnt/homerw=rw:/homero
tmpfs nach /var/run options: rw,noexec,nosuid,nodev
tmpfs nach /var/lock options: rw,noexec,nosuid,nodev
tmpfs nach /tmp options: rw,noexec,nosuid,nodev

In der /etc/fstab solltest du nur md1+md2 in die normalen Verzeichnisse (/ und /home) rw mounten (zum Updates einspielen), im weiteren Verlauf dann möglichst wieder unmounten.

swap space entsprechend großzügig dimensionieren und /mnt/homerw beim abmelden leeren.

[suntzu]

Hallo,

der Titel ist leider wenig gelungen, aber ich weiß auch nicht wie ich es ausdrücken soll. (Was die Suche beschwerlich gestaltet)

Der Plan ist es ein Netzwerk aus Rechnern und einem Server aufzubauen, bei dem die Benutzer der Rechner tun und lassen können was sie wollen, da nach einem Neustart des Rechners alles wieder beim alten ist. Leider finde ich hierfür keine Software-Lösung die z.B. Änderungen auf eine andere Partition packt die dann gelöscht wird beim Start. (So war meine Überlegung zunächst)

Wie wäre es mit Booten über's Netzwerk, PXE oder so? Die /homes bzw. wenn's Win ist die "Eigene Dateien" auf nem zentralen Server. Wenn du über's LAN bootest, dann kannst du auch das Image zentral verwalten und Software installieren.

[freddy36]

Eine Server-Lösung sollte lieber wegfallen, da das System möglichst ausfallsicher und somit ohne Server geplant ist. (Server nur zum Verteilen neuer Software)

[daemotron]

Wir hatte an der FH für sowas eine Hardware-Lösung (mir fällt aber der Name nicht mehr ein). Für Pauker ohne tiefgehendere EDV-Kenntnisse wahrscheinlich die bequemste Lösung; unbehaglich wird's nur, wenn Updates eingespielt werden müssen, da der Plattenschutz nicht remote deaktiviert werden kann - das ging nur über das Controller-BIOS oder über eine Windows-Software. Ob es mittlerweile auch Karten gibt, die Linux-Treiber mitliefern, weiß ich nicht.

Hast Du Dir schon mal die in BW eingesetzte Lösung der "Selbstheilenden Arbeitsstation" (SHeilA) angeschaut? Die setzen Rembo/mySHN (siehe http://www.myshn.com/) ein. So wie ich das verstanden habe, ist das eine kombinierte Lösung aus lokalem verstecktem Disk-Image und PXE-Boot. Letzteres wird nur herangezogen, wenn ein Wüterich auch das lokale Image zerstört hat (z. B. durch Löschen/Überschreiben der Partitionstabelle oder der ganzen Platte).

P. S: Hier habe ich eine Linux-taugliche Hardware-Lösung gefunden: http://cms.signalnet.de/conkap.jsp?pageId=10003&lang=de

[neuni]

HILFE! <-- Das ist ein Hilfeschrei :-)

Also aufs bzw unionfs funktioniert doch so: (oder?)
Ich gebe Ihm 2 Ordner in meinem Fall und setzte einen weiteren, der dann quasi die Kombination aus Ihnen ist. 1. lesend, 2. kommt das rein was man schreibt.
Soweit so klar.
Wie bekomme ich es aber nun hin 2 Partitionen zu erstellen, sodass die mit dem SuSE die Read-Only ist und eine 2. wo die temporären Daten hinkommen. Müsste doch gehen oder?
Stellt sich einfach die Frage wie.

So könnte es aussehen wenn es alles fertig gestartet ist:
/dev/md1 (ro root) nach /mnt/rootro options:ro
/dev/md2 (ro home) nach /mnt/homero options:ro,nosuid,nodev,noexec
/dev/md3 (rw home) nach /mnt/homerw options:rw,nosuid,nodev,noexec
tmpfs (rw root) nach /mnt/rootrw options: rw,noexec,nosuid,nodev
aufs (neues root) nach / options: rw,dirs=/mnt/rootrw=rw:/mnt/rootro=ro
aufs (neues home) nach /home options: rw,nosuid,nodev,noexec,dirs=/mnt/homerw=rw:/homero
tmpfs nach /var/run options: rw,noexec,nosuid,nodev
tmpfs nach /var/lock options: rw,noexec,nosuid,nodev
tmpfs nach /tmp options: rw,noexec,nosuid,nodev

In der /etc/fstab solltest du nur md1+md2 in die normalen Verzeichnisse (/ und /home) rw mounten (zum Updates einspielen), im weiteren Verlauf dann möglichst wieder unmounten.

swap space entsprechend großzügig dimensionieren und /mnt/homerw beim abmelden leeren.

Wow...danke, aber so tief bin ich noch nicht in diesen ganzen Mount-Kram eingestigen dass ich das Blicke. Ich bräuchte das ganze etwas Anleitungs-Ähnlicher. :?

Also was ich bisher geschafft habe:

Ich habe einen Ordner der den normalen home des Users und den rw-Ordner zusammenfasst und diesen als Home des Benutzers gesetzt. Wenn ich also den rw-Ordner beim Start lösche ist alles wieder brav weg. Soweit so gut.
Meint ihr das reicht, oder kann der normale User an andere Ordner ran und diese manipulieren?

[freddy36]

Ich würde wenigstens noch /dev/shm, /tmp, /var/lock und /var/run mit noexec,nosuid,nodev mounten

Dann kannst du mal gucken was du sonst noch so an kritischen Sachen findest:

Code: Select all

# Find setgid files
find / -xdev -type f -perm /g=s -print

# Find setuid files
find / -xdev -type f -perm /u=s -print

# Find world writable files
find / -xdev -perm /o=w ! ( -type d -perm /o=t ) ! -type l -print