Wenn man einen Rechner im öffentlichen Raum als Browserterminal bereitstellen will, gibt es hauptsächlich die Anforderung, dass die User keine privaten Daten hinterlassen und am System so wenig wie möglich verstellen.
Es gibt verschiedenste Lösungen für diesen Zweck, fertige Linux-Distributionen oder spezielle Internet-Café Software, die Windows-Rechner so abschottet, das man noch nicht mal einen Explorer aufbekommt.
Für die beiden vom Freifunk betriebenen Surfterminals habe ich eine extrem simple Lösung gewählt. Die Rechner verrichten seit etlichen Monaten ohne Probleme ihren Dienst, obwohl es in den Kneipen schon etwas rauher zugeht.
Zunächst wird auf den Rechner die Linux-Distribution der Wahl installiert. Ich verwende Ubuntu, aber darauf kommt es nicht an. Es werden zwei Benutzer eingerichtet: ein administrativer („tresen“) und ein unpreviligierter („gast“). Achtung, bei Ubuntu ist der erste, bei der Installation eingerichtete User ein previligierter User (mit sudo-Rechten). Also erst „tresen“ und dann „gast“ einrichten und hinterher nochmal die /etc/sudoers
überprüfen.
Man loggt sich zunächst als „gast“ ein und richtet den Browser so ein, wie man es gerne für die Gäste hätte: Adblocker, keine Cookies und Passwörter speichern, Startseite ect. Die Startseite für den Browser zeigt in unser Wiki, die Kneipengäste können dort dann eigene Links ablegen und so die Startseite etwas nach ihren Bedürfnissen anpassen. Der Webbrowser wird als Autostart-Applikation eingerichtet (System -> Preferences -> Sessions -> Startup Programs). Dann loggt man sich als „tresen“ ein und richtet den Anmeldungsmanager so ein, dass „gast“ beim Rechnerstart automatisch eingeloggt wird.
Jetzt kommt der interessante Teil: das Script pack_guest.sh
verpackt das Home-Verzeichnis vom Gastuser in eine .tar-Datei:
#!/bin/sh
#
# Erstellt ein neues Template (gast_home.tar.gz) aus dem aktuellen gast
# Homeverzeichnis. Dieses Script sollte nur ausgeführt werden, wenn die
# Änderungem am gast-User dauerhaft gespeichert werden sollen.
#
# siehe http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation
if [ `whoami` != "root" ]; then
echo "Du musst root sein, um das Script auszufuehren! Schau Dir bitte die"
echo "Doku auf unserer Webseite an:"
echo "http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation"
exit 1
fi
#
DATE=`date +%Y%m%d_%H%M%S`
TARGET=/home/tresen/Surfstation/gast_home.tar.gz
# backup vom alten $HOME anlegen...
if [ -e $TARGET ]; then
mv -v $TARGET /home/tresen/Surfstation/gast_home_$DATE.tar.gz
fi
cd /
tar czf /home/tresen/Surfstation/gast_home.tar.gz /home/gast |
#!/bin/sh
#
# Erstellt ein neues Template (gast_home.tar.gz) aus dem aktuellen gast
# Homeverzeichnis. Dieses Script sollte nur ausgeführt werden, wenn die
# Änderungem am gast-User dauerhaft gespeichert werden sollen.
#
# siehe http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation
if [ `whoami` != "root" ]; then
echo "Du musst root sein, um das Script auszufuehren! Schau Dir bitte die"
echo "Doku auf unserer Webseite an:"
echo "http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation"
exit 1
fi
#
DATE=`date +%Y%m%d_%H%M%S`
TARGET=/home/tresen/Surfstation/gast_home.tar.gz
# backup vom alten $HOME anlegen...
if [ -e $TARGET ]; then
mv -v $TARGET /home/tresen/Surfstation/gast_home_$DATE.tar.gz
fi
cd /
tar czf /home/tresen/Surfstation/gast_home.tar.gz /home/gast
Dieses Script ruft man einmalig auf und findet dann in /home/tresen/Surfstation
die Datei gast_home.tar.gz
. Dieses Template kann nun immer ausgepackt werden, wenn der Rechner startet. Das erledigt das Script unpack_guest.sh
:
#!/bin/sh
#
# stellt den gast-user aus dem vorgefertigten Template (gast_home.tar.gz)
# wieder her. Das ist das Standard-Script, das bei jedem Booten ausgefuehrt
# wird. siehe
# http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation
#
if [ `whoami` != "root" ]; then
echo "Du musst root sein, um das Script auszufuehren! Schau Dir bitte die"
echo "Doku auf unserer Webseite an:"
echo "http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation"
exit 1
fi
rm -rf /home/gast
cd /
tar xzf /home/tresen/Surfstation/gast_home.tar.gz
# falls das Passwort zurueck gesetzt wurde...
echo "gast:gast" | chpasswd |
#!/bin/sh
#
# stellt den gast-user aus dem vorgefertigten Template (gast_home.tar.gz)
# wieder her. Das ist das Standard-Script, das bei jedem Booten ausgefuehrt
# wird. siehe
# http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation
#
if [ `whoami` != "root" ]; then
echo "Du musst root sein, um das Script auszufuehren! Schau Dir bitte die"
echo "Doku auf unserer Webseite an:"
echo "http://wiki.freifunk-potsdam.de/index.php?title=Olga-Surfstation"
exit 1
fi
rm -rf /home/gast
cd /
tar xzf /home/tresen/Surfstation/gast_home.tar.gz
# falls das Passwort zurueck gesetzt wurde...
echo "gast:gast" | chpasswd
Jetzt muss man nur noch dafür sorgen, dass dieses Script bei jedem Bootvorgang ausgeführt wird. Eine Zeile in /etc/rc.local
genügt:
/home/tresen/Surfstation/unpack_guest.sh |
/home/tresen/Surfstation/unpack_guest.sh
[Update] (12.11.09): Mir ist gerade aufgefallen, dass es mit Upstart zu einer Race-Condition kommt. Es ist einfach nicht definiert, wann das Script unpack_guest.sh
ausgeführt wird und das führt zu sehr merkwürdigen Effekten.
Wenn man also eine Distribution mit Upstart verwendet (z.B. Ubuntu 9.10 „Karmic Koala“ oder später), muss man den Aufruf des unpack_guest.sh
Scriptes im Upstart-System vor den gdm legen. Entweder man definiert einen eigenen Dienst oder man fügt das Script als pre-start Script in /etc/init/gdm.conf
ein:
pre-start script
# unpack the guest account home directory
/home/tresen/Surfstation/unpack_guest.sh
end script |
pre-start script
# unpack the guest account home directory
/home/tresen/Surfstation/unpack_guest.sh
end script
[/Update]
Mir gefällt an diese Lösung, dass wir damit absolut keine Arbeit haben. Die einzigen Probleme sind Hardwareschäden, also wenn wiedermal Bier über die Tastatur gekippt wurde. Das System an sich läuft aber nahezu wartungsfrei. Man muss sich halt alle paar Monate (idealerweise remote) einloggen und die fälligen Updates einspielen.