Ich hab heute meinen Rechner einmal komplett dicht gemacht und möchte mal vorstellen, wie man so etwas machen kann. Die Anforderungen waren: es soll möglich sein eine statische HTML Seite zu benutzen und mehrere Videos anzuschauen. Es soll unmöglich sein andere Anwendungen zu starten oder irgendwelche Dateien zu öffnen. KDE bietet mit dem KIOSK Framework im Prinzip alles was man braucht.
Ich habe natürlich einen extra Nutzer welcher mein Home Verzeichnis nicht einsehen darf. Damit sind schon mal sämtliche Dateien geschützt.
Die Idee war nun Konqueror entsprechend zurecht zu manipulieren. Moment Konqueror? Einen Dateimanager so verändern, dass man keinerlei private Daten sehen kann? Ja KDE macht’s möglich 😉 Über eine Fensterspezifische Regel wird Konqueror in den Vollbildmodus gezwungen. Da es eine Regel ist, kann man diesen auch nicht mehr beenden. Globale Shortcuts werden auch geblockt, somit ist es nicht möglich über Alt+F2 neue Anwendungen zu starten oder über Alt+F4 oder Strg+Alt+Esc Konqueror zu beenden. Zusätzlich werden alle wichtigen Shortcuts deaktiviert. Also zum Beispiel Strg+Q zum Beenden. Damit ist es über die Tastenkürzel nicht mehr möglich aus Konqueror rauszuwechseln.
Nun muss natürlich noch mehr bearbeitet werden, zum Beispiel die Werkzeugleisten. Hier kann man die Adressbar entfernen und somit das Wechseln in ein Verzeichnis verhindern und plötzlich ist Konqueror kein Dateimanager mehr.
Aber es ist ja immer noch möglich die Konfiguration wieder aufzurufen und alles rückgängig zu machen. Hier kommt nun KIOSK zum Einsatz. Man muss nur eine systemweite kdeglobals Datei bearbeiten und kann dann einige Restriktionen definieren. Z.B. das Starten der Konsole unterdrücken oder das Konfigurieren der Shortcuts verhindern. Damit sind die Werkzeugleisten und Shortcuts abgesichert.
Aber über das Menü kann man ja immer noch Konqueror beenden. Schlecht, also muss man auch noch mal dran. Zum Glück kann man die Menüs über XML Dateien verändern. Also einmal die ~/.kde/share/apps/konqueror/konqueror.rc anfassen und sämtliche Einträge entfernen und TATA es gibt kein Datei Menü mehr. Konqueror lässt sich nicht mehr beenden.
Last but not least muss man noch ein bißchen weiter schauen, da Konqueror auch weitere Programme startet. So zum Beispiel konnte ich den Quellcode zeigen Menüpunkt nicht entfernen. Also noch mal eine Regel für KWrite anlegen und globale Shortcuts definieren. Anwendung selbst ist auch über KIOSK sicher. Gleiches für den Video Player.
Damit ist das Ziel erreicht: Konqueror ist auf den minimalen Bereich eingeschränkt, welcher über die Startseite vorgegeben ist. Es lassen sich die Videos öffnen, aber keine anderen als die vorgegebenen.
Sicherheitshalber sollte man noch Plasma beenden, damit nicht plötzlich der KMenü Button in den Vordergrund kommt. Wenn man wirklich nur eine Anwendung braucht, könnte man auch noch den Fenstermanager ausschalten. Aber da der Videoplayer gestartet werden soll, geht das in diesem Fall nicht.
Das war das erste Mal, dass ich KIOSK eingesetzt habe und die Mächtigkeit ist einfach gigantisch. Mir war durchaus bewusst, dass KDE ein gutes Lockdown System hat, hatte es aber noch nie getestet. Und mit dem Wissen, dass das ganze in der kommenden Version weiter ausgebaut wird, kann man wirklich sagen, dass KDE eine gute Grundlage für den Einsatz in Unternehmen hat um z.B. ein Corporate Design durchzudrücken äh einzusetzen.
Wann kommt der passende Wiki-Artikel bei uu.de? 🙂
Klingt super!
geht auch der Wechsel auf andere TTYs nicht mehr (Stg+Alt+F1)?
Doch der geht immer noch. In meinem Fall war das aber egal, da nur ich Login kenne und TTYs kann man ja auch leicht absichern und das Anmelden verbieten.