# / verstecken [solved]

## mc-max

Hallo zusammen,

habe meinem Papa Gentoo installiert, nur jetzt kommt das was ich befürchtet habe:

- kannst Du mir das und das freigeben?

- nein Papa!

er ist zwar ziemlich fit mit PCs aber weil er sein Windows ziemlich oft neu installert  :Rolling Eyes:  ) traue ich im "root" nicht zu, er hat ja auch keine Zeit um sich mit der Administration zu beschäftigen. Damit er nicht auf dumme Gedanken kommt, will ich alles, außer seinem ~home, vom Lesezugriff verstecken (so das es nicht in den Ordner rein schauen kann). Mann könnte das doch / mit fstab vestecken, oder? Wie genau?

danke.

maxLast edited by mc-max on Sun Jun 18, 2006 11:58 am; edited 1 time in total

----------

## smg

 *mc-max wrote:*   

> Hallo zusammen,
> 
> habe meinem Papa Gentoo installiert, nur jetzt kommt das was ich befürchtet habe:
> 
> - kannst Du mir das und das freigeben?
> ...

 

Wenn er per SSH zugreift: http://www.debian.org/doc/manuals/securing-debian-howto/ap-chroot-ssh-env.en.html

Mit FTP Zugriff: chroot

Sonst: kA

Bye.

----------

## schmutzfinger

 *Quote:*   

> Damit er nicht auf dumme Gedanken kommt, will ich alles, außer seinem ~home, vom Lesezugriff verstecken

 

Super Idee! Aber pass auch auf das du alle libs und binaries mit erwischst. Besonders kritisch ist /etc, da kann man mit Lesezugriff ziemlich viel kaputt machen! Besonders geheim sollten /etc/profile und /etc/bashrc bleiben, /dev und /proc solltest du auch verbannen.

Ne, jetzt mal im Ernst. Hast du mal drüber nachgedacht was du da machen willst?

----------

## think4urs11

 *mc-max wrote:*   

> er ist zwar ziemlich fit mit PCs aber weil er sein Windows ziemlich oft neu installer

 

also mal abgesehen davon das obiges beinahe schon ein Widerspruch in sich ist ...  :Wink: 

Ggf. könntest du dich mal mit SELinux oder Virtualisierung mittels Xen auseinandersetzen. Papa bekommt (mehr oder weniger) root-Rechte kann aber trotzdem nichts wichtiges kaputtmachen (außer seiner virtuellen Maschine im schlimmsten Fall) - Papa glücklich (weil 'root'), Sohnemann beruhigt (weil System trotzdem funktionsfähig).

----------

## smg

 *Think4UrS11 wrote:*   

>  *mc-max wrote:*   er ist zwar ziemlich fit mit PCs aber weil er sein Windows ziemlich oft neu installer 
> 
> also mal abgesehen davon das obiges beinahe schon ein Widerspruch in sich ist ... 
> 
> Ggf. könntest du dich mal mit SELinux oder Virtualisierung mittels Xen auseinandersetzen. Papa bekommt (mehr oder weniger) root-Rechte kann aber trotzdem nichts wichtiges kaputtmachen (außer seiner virtuellen Maschine im schlimmsten Fall) - Papa glücklich (weil 'root'), Sohnemann beruhigt (weil System trotzdem funktionsfähig).

 

Schöner hätte man es nicht sagen können / erklären können!  :Smile: 

Aber gibt es nun ein Tool, dass locked im home dir wenn man $SHELL nutzt?

Bye.

----------

## UncleOwen

Naja, ob jetzt die virtuelle Maschine oder das Hostsystem kaputt ist, der Effekt ist der gleiche: Papa kann nicht mehr arbeiten, Sohnemann muss es reparieren.

----------

## blice

hab ich was verschlafen ? 

Seit wann kann ein nutzer (egal ob users oder wheel) irgendwas am system ändern ohne su-rechte?

mit normaler uid/gid kann man evtl , sofern man einigermassen fit, ist die eine oder andre config lesen, schreiben ist unmöglich

und kde/konqueror läßt meine nutzer nirgendwo ran das root:root gehört

----------

## smg

 *blice wrote:*   

> hab ich was verschlafen ? 
> 
> Seit wann kann ein nutzer (egal ob users oder wheel) irgendwas am system ändern ohne su-rechte?
> 
> mit normaler uid/gid kann man evtl , sofern man einigermassen fit, ist die eine oder andre config lesen, schreiben ist unmöglich
> ...

 

Stimmt schon, aber er will ja / "verstecken".  :Smile: 

Bye.

----------

## think4urs11

 *smg wrote:*   

> Schöner hätte man es nicht sagen können / erklären können! 

 

Danke

 *UncleOwen wrote:*   

> Naja, ob jetzt die virtuelle Maschine oder das Hostsystem kaputt ist, der Effekt ist der gleiche: Papa kann nicht mehr arbeiten, Sohnemann muss es reparieren.

 

Ja und nein.

Klar ist die virtuelle Instanz erstmal im Eimer aber da der darunter liegende Host noch voll funktionsfähig ist ist nicht gleich alles verloren.

Restore vom Imagebackup, Stage4-Backup etc.; kein umständliches Booten von Rescue-CDs o.ä.

Ich wüßte so ad hoc keine Möglichkeit um beide Parteien glücklich zu machen *und* dafür zu sorgen das der weniger versierte Anwender (Papa) nichts kaputtmachen kann das umfangreiche Rettungsaktionen notwendig macht. (außer eben einer virtuellen Instanz, egal mit welcher Technik)

Geben tut es ja viele

- VMWare

- Xen

- VServer

- qemu

- UML

- chroot

- Jails (BSD)

- SELinux (root ist nicht unbedingt gleich 'Gott')

----------

## Marlo

 *Think4UrS11 wrote:*   

> 
> 
> Ich wüßte so ad hoc keine Möglichkeit um beide Parteien glücklich zu machen ...

 

Wie wäre es mit einer ausgedruckten Installationsanweisung?

Papa lernt Gentoo und Sohn hat einen fachkundigen Gesprächspartner.

Ist doch ein schönes Familienleben, oder?

Ma

----------

## ChrisJumper

Also ich denke ja nicht das das der richtige Weg ist. Am besten du erklärst deinem Vater einfach warum.

Der Aufwand eine Virtuelle umgebung für ihn zu schaffen find ich einfach zu verrückt. (Obwohl es eine lustigen Faszinierten Reiz hat  und die Idee ganz nett ist :)

Denn er wird immer mäkkern das er irgendwas nicht ändern kann etc...

Windows macht das schon mit dem Verstecken der Dateien oder Dateiendungen so und das ist, wie ich finde nicht der richtige Weg.

Vielleicht zeigst du deinem Vater das mal  mit ner virtuellen Maschiene mit Gentoo drauf.. erkärst ihm das und dann kann er da auch mal rumprobieren selber installieren etc.. und auch mal was kaputt machen. ;)

Andernfalls könntest du auch eine LiveCD erstellen und sein home/tmp Verzeichnis übers netzwerk realisieren.

Die bessere und elegantere Lösung ist vllt. ein entsprechender aktueller Snapshot vom System und wenn er mal was kaputt macht.. kannst du das einfach rückgängig machen.

Oh mir fällt noch eine Möglichkeit ein. Du könntest auch ein Verzeichnis das er Verändern kann, über dein Verzeichniss-Root drüber Mounten. Stichwort stapelbare Dateisystem: Also eines read only und ein rw drüber. Cowloop

.... viel erfolg :)

----------

## think4urs11

 *Marlo wrote:*   

> Wie wäre es mit einer ausgedruckten Installationsanweisung?
> 
> Papa lernt Gentoo und Sohn hat einen fachkundigen Gesprächspartner.
> 
> Ist doch ein schönes Familienleben, oder?

 

Jo aber einem Mann via Installationsanleitung unter die Nase zu reiben das er keine Ahnung hat (zumal Papa ja 'Windows-Eggschberde' ist) ist keine gute Idee...   :Rolling Eyes: 

Und wenn würde ich Papa das ebenfalls in einer virtuellen Umgebung machen lassen. Muß er sich wenigstens nicht gleich mit ADSL-Einwahl nach CD-Boot usw. beschäftigen.

Nebenbei hat es für den Sohnemann auch noch einen Lerneffekt - 'wie arbeite ich mit mehreren virtuellen Instanzen auf einer Hardware'.

----------

## Fauli

 *mc-max wrote:*   

> Damit er nicht auf dumme Gedanken kommt, will ich alles, außer seinem ~home, vom Lesezugriff verstecken (so das es nicht in den Ordner rein schauen kann).

 

Wenn es nur darum geht, im KDE bestimmte Ordner zu verstecken, wird dir bestimmt Kapitel 26 im KDE-Benutzerhandbuch weiterhelfen.

----------

## Finswimmer

Im Ernst, ich würde es ihm alles einfach erlauben.

So hab ich damals mit meinem Bruder, wir waren beide 5 auch am ATARI alles gelernt, einfach alles ausprobiert.

Später bei Win haben wir das System auch alle 5 Min klein gehabt.

Aber das ist der Einzige Weg um irgendwas zu lernen.

Wie wäre Folgendes:

Du richtest einmal alles ein, machst ein Backup auf deinen Netzwerk Rechner, mittles Dar, und lässt ihn alles kaputt machen.

Dann fragst du ihn, was er gemacht hat, und spielt mir dar-manager die betreffenden Datei schnell wieder zurück...

Dauert IMHO knapp 5 Min, wenn du das über CD / DVD machst, sparst du dir sogar die Live CD, die dir Netzwerk ermöglicht...

Alles Andere ist irgendwie nicht gut, weil wenn er plötzlich sich mit beschäftigt, dann ist das Geschrei groß...

Tobi

----------

## ro

ich glaub eines der ersten dinge die ich an unix gelernt hab ist dass man niemals als root arbeiten sollte. Erklär das deinem Dad. Hat man root-Rechte auf einem Unix-System und man kennt sich nicht aus ist es imho wesentlich einfacher, sich sein System zu zerstören als mit Windows (wenn man am System herumspielt). Erklär ihm das einfach ... Und irgendwelche Spielereien - dazu kannst du wunderbar sudo benutzen, ohne dich mit SELinux auseinandersetzen zu müssen. Er könnte sich - wenns ihn wirklich interessiert - eine Firewall basteln, ein paar meiner Kunden tun das. Ich hab allerdings immer ein Script bereitgestellt, um alle Tables zu flushen  :Wink: 

Warum willst du "/" verstecken? Das kann gar nicht gehn, irgendwie müssen ja die Pfade definiert sein, und es ist nunmal alles unter der Root (engl. f. Wurzel, Dach) Partition eingehängt. Wenn das ginge würde man ja auch ohne mountpoint mounten können. Angenommen es ginge, dann könnte ja KDE, das als Benutzer "Papa" ausgeführt wird ja auch die eigenen Libs nicht lesen können  :Wink: 

----------

## mc-max

 *Fauli wrote:*   

>  *mc-max wrote:*   Damit er nicht auf dumme Gedanken kommt, will ich alles, außer seinem ~home, vom Lesezugriff verstecken (so das es nicht in den Ordner rein schauen kann). 
> 
> Wenn es nur darum geht, im KDE bestimmte Ordner zu verstecken, wird dir bestimmt Kapitel 26 im KDE-Benutzerhandbuch weiterhelfen.

 

DANKE!

das war genau das, was ich gesucht habe.

----------

## mc-max

 *Finswimmer wrote:*   

> Im Ernst, ich würde es ihm alles einfach erlauben.
> 
> So hab ich damals mit meinem Bruder, wir waren beide 5 auch am ATARI alles gelernt, einfach alles ausprobiert.
> 
> Später bei Win haben wir das System auch alle 5 Min klein gehabt.
> ...

 

das ist mir schon und genauso bin ICH auch vorgegangen. Es kommt noch, aber nicht jetzt.

 *Finswimmer wrote:*   

> 
> 
> Wie wäre Folgendes:
> 
> Du richtest einmal alles ein, machst ein Backup auf deinen Netzwerk Rechner, mittles Dar, und lässt ihn alles kaputt machen.
> ...

 

Das System läuft jetzt und Backup ist auch schon auf der CD. Die Sache ist, dass ich nicht bei den Eltern wohne und nicht alles vor Ort machen kann. Bis ich einen Aufklärungsgespräch mit Papa habe kann es noch ein Weilchen dauern und bis dahin will sicherstellen, dass er gerade an den ersten Tagen nichts falsch macht. 

Gruß.

max

----------

## EliasP

Für solche Fälle hab ich immer einfach mit "kiosktool" ne eingeschränkte KDE Umgebung eingerichtet, in der xorg.conf die Zeile

```

Option "DontZap"  "true"

```

in die Serverflags-Section gesetzt und über PAM den Login für diesen User auf einer normalen Konsole gesperrt. Schon war das System mehr oder weniger unkaputtbar.

----------

## return13

Also ich find die Virtuellisierung bisher die beste idee...

Und der aufwand ist ja nun wirklich geringer als mal wirklich neuinstallieren zu muessen...

----------

