 | | From: | Knut Singer | | Subject: | Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 20:26:53 +0100 |
|
|
 | Stets um Sicherheit im Netz bedacht kam mir neulich folgende Idee, von
der ich aber irgendwie gar nicht weiß, wie man dies realisieren könnte.
Vielleicht kann mir da mal jemand von Euch den passenden Anstoß geben.. ;-)
Also:
Ich stelle mir einen Linux-PC vor, der in der "Demilitarized Zone"
(heißt das so? / schreckliche Bezeichnung ) steht.
Internetzugänge an Arbeitsplatz-PCs sind vollständig im Router/Firewall
deaktiviert. Es geht nichts rein und nichts raus.
Stattdessen kann jeder Benutzer von seinem Arbeitsplatz PC (leider
unumstößlich Windows) zu diesem Linux "Internetrechner" per
Fernwartungssoftware/Remote Desktop oder wie auch immer man das nennen
will (z.B. VNC) eine Verbindung aufbauen und so "ferngesteuert" im
Internet surfen.
Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
an dieser Stelle schon einem Denkfehler auf?
Hauptfrage:
Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts zur
Verfügung stehen (entweder dauerhauft oder gestartet bei Anfrage),
sodass mehrere Leute gleichzeitig surfen können? Hier fehlt mir leider
zurzeit völlig jegliche Idee, wie ich hier anfangen könnte...
Danke,
Knut
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 21:42:37 +0000 (UTC) |
|
|
| Knut Singer wrote:
> Ich stelle mir einen Linux-PC vor, der in der "Demilitarized Zone"
> (heißt das so? / schreckliche Bezeichnung ) steht.
Sach "DMZ", dann klingts freundlicher ;-)
> Stattdessen kann jeder Benutzer von seinem Arbeitsplatz PC (leider
> unumstößlich Windows) zu diesem Linux "Internetrechner" per
> Fernwartungssoftware/Remote Desktop oder wie auch immer man das nennen
> will (z.B. VNC) eine Verbindung aufbauen und so "ferngesteuert" im
> Internet surfen.
>
> Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
> an dieser Stelle schon einem Denkfehler auf?
IMHO ja.
> Hauptfrage:
> Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts zur
> Verfügung stehen (entweder dauerhauft oder gestartet bei Anfrage),
> sodass mehrere Leute gleichzeitig surfen können? Hier fehlt mir leider
> zurzeit völlig jegliche Idee, wie ich hier anfangen könnte...
Tja, wenn Du sowas modernes (und IMHO zimlich sinnloses) wie VNC nutzen
willst, wird das problematisch. Nimmst Su dagegen plain old XDMCP, was
jeder gescheite Anmeldungsmanager seit Jahren beherrscht, funktioniert
das wunderbar (zumindest über ein LAN). Das einzige, was Du brauchts ist
ein X-Server auf jedem Client (z.B. der von cygwin) und einen guten
Filter, weil man XDMCP nicht wirklich nach außen lassen will.
Etwas komlizierter, dafür wegen des Verzichts auf XDMCP sicherere
Lösung, wäre es, den Browser per SSH mit X-Forwarding auf dem Server
auszuführen.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 22:00:19 +0000 (UTC) |
|
|
| Stephan Krause wrote:
>> Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
>> an dieser Stelle schon einem Denkfehler auf?
>
> IMHO ja.
Ähm, der gute Trick, mit "ja" auf eine "oder"-Frage zu antworten. Hier
gilt das Korrolar: "Ja" meint immer die erste Auswahlmöglichkeit ;-)
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 23:07:40 +0100 |
|
|
| Hi,
> Ähm, der gute Trick, mit "ja" auf eine "oder"-Frage zu antworten. Hier
> gilt das Korrolar: "Ja" meint immer die erste Auswahlmöglichkeit ;-)
ist mir auch aufgefallen - aber so habe ich es dann auch - mein Ego
lässt grüßen - interpretiert ;-)
Ciao, Knut
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 23:06:18 +0100 |
|
|
| Hi,
> Tja, wenn Du sowas modernes (und IMHO zimlich sinnloses) wie VNC nutzen
> willst, wird das problematisch.
..... ich bin nicht festgenagelt auf VNC ... Es ist lediglich das
Programm, das mich auf diese Idee brachte..
> Nimmst Su dagegen plain old XDMCP, was
> jeder gescheite Anmeldungsmanager seit Jahren beherrscht, funktioniert
> das wunderbar (zumindest über ein LAN). Das einzige, was Du brauchts ist
> ein X-Server auf jedem Client (z.B. der von cygwin) und einen guten
> Filter, weil man XDMCP nicht wirklich nach außen lassen will.
Das sollte keine Probleme darstellen..
>
> Etwas komlizierter, dafür wegen des Verzichts auf XDMCP sicherere
> Lösung, wäre es, den Browser per SSH mit X-Forwarding auf dem Server
> auszuführen.
Kannst Du mir hierzu auch noch ein paar Sätze oder Stichworte schreiben?
Danke, Knut
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 00:17:15 +0000 (UTC) |
|
|
| Knut Singer wrote:
>> Etwas komlizierter, dafür wegen des Verzichts auf XDMCP sicherere
>> Lösung, wäre es, den Browser per SSH mit X-Forwarding auf dem Server
>> auszuführen.
> Kannst Du mir hierzu auch noch ein paar Sätze oder Stichworte schreiben?
Fall 1 (XDMCP): Du sagst den (xdm|kdm|gdm), er soll XDMCP anbieten. Wie
das geht ist bei jedem anders, bei GDM gibt es dafür z.B. im
Konfigurationstool ein Klickfeld (KDM sollte sich ähnlich verhalten).
Dann startest Du auf dem Client den X-Server mit
"X -query $IP_DES_SERVERS"
und schon hast Du einen hypschen Loginscreen.
Fall 2 (SSH mit X-Forwarding): Auf dem Client wird ein X-Server
gestartet. Dann logt man sich mit SSH (mit eingeschaltetem X-Forwarding)
auf dem Server ein und ruft z.B. Mozilla auf. Der erscheint dann auf dem
Client. Wenn man zu faul ist, den Mozilla mit der Hand zu starten und
der Zugang *ausschließlich* zum Starten von Mozilla gedacht ist, kann
man ihn auch automatisch per Startpscript starten, oder SSH als
auszuführendes Kommando mitgeben.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Erik Griffin | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 07:51:32 +0100 |
|
|
| * Knut Singer schrieb:
Hallo!
[...]
> Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
> an dieser Stelle schon einem Denkfehler auf?
Kommt drauf an, wie Du das meinst. Wenn man das ernst meint sieht das
IMHO so aus:
{Internet}<----->[Router]<------>[Firewall]<------>{DMZ}<------>[DeinLinuxPC]
[DeinLinuxPC]<-----[Firewall]<-|->Arbeitsplatz-PC's
|->Arbeitsplatz-PC's
|->...
Zur Erklärung:
Du hast das große gemeine Internet, daran hängst Du Deinen Router (1.
Rechner), der Dir dazu Zugang bietet. Nach dem Router kommt IMHO dann
eine Firewall (bei ernst gemeinten Systemen ist das mindestens ein 2.
Rechner). Hinter dieser Firewall hast Du dann sozusagen die DMZ. In
diese stellst Du Deinen Linux-PC (mindestens ein 3. Rechner). Danach
kommt IMHO wieder eine Firewall (bei ernst gemeinten Systemen ist das
mindestens ein 4. Rechner) mit folgenden Eigenschaften, leienhaft
ausgedrückt:
- es ist nur Port ??? freigegeben der für das surfen benötigt wird (also
z.B. port 22 für ssh&X)
- Nur die Arbeitsplatz-PC's dürfen eine Verbindung zum LinuxPC
herstellen, nicht umgedreht
- der Rest (netbios, smb, usw. usf), also das ganze teilweise sinnlose
Zeugs was Windows so in die Außenwelt schießt wird geblockt
Von so einem System sagt man dann, das es recht sicher sein (vor
Einbrüchen) soll. Legst Du natürlich auch Wert auf große
Ausfallsicherheit und must diese ggf. garantieren, wirst Du um
kommerzielle zertifizierte Hardware+Software aber wohl nicht drumrum
kommen (z.B. mit Sun/Solaris). Ich habe oben häufig das Wort
"mindestens" geschrieben. Je nach Last brauchst Du an den Stellen ggf.
mehrere Rechner z.B. für Lastverteilung o.ä.
Du kannst ja mal ein wenig auf http://www.t-it-s.de/ herumstöbern. Dort
liegen Vorträge und Papers von einigen Security-Veranstaltungen.
[...]
mfg
Erik
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 11:09:19 +0000 (UTC) |
|
|
| Erik Griffin <1f4e5381573d4a9c00e0b61302a4167f@nurfuerspam.de> wrote:
> Kommt drauf an, wie Du das meinst. Wenn man das ernst meint sieht das
> IMHO so aus:
>
> {Internet}<----->[Router]<------>[Firewall]<------>{DMZ}<------>[DeinLinuxPC]
>
> [DeinLinuxPC]<-----[Firewall]<-|->Arbeitsplatz-PC's
> |->Arbeitsplatz-PC's
> |->...
Bei kleineren Netzen ist das IMHO Overkill und schreckt höchtens ab
("Richtige Sicherheit kann ich eh nicht erreichen, also lass ich's
ganz"). In dem Fall reicht IMHO auch:
{Internet}<------>[Router|Firewall]<------>{LAN}
^
|
{DMZ}
[DeinLinuxPC]
Wobei man noch argumentieren kann, ob man Router und Firewall trennt,
oder gleich ein Gerät für beides nimmt.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Erik Griffin | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 21:44:40 +0100 |
|
|
| * Stephan Krause schrieb:
> Erik Griffin <1f4e5381573d4a9c00e0b61302a4167f@nurfuerspam.de> wrote:
>
>> Kommt drauf an, wie Du das meinst. Wenn man das ernst meint sieht das
>> IMHO so aus:
>>
>> {Internet}<----->[Router]<------>[Firewall]<------>{DMZ}<------>[DeinLinuxPC]
>>
>> [DeinLinuxPC]<-----[Firewall]<-|->Arbeitsplatz-PC's
>> |->Arbeitsplatz-PC's
>> |->...
>
> Bei kleineren Netzen ist das IMHO Overkill und schreckt höchtens ab
IMHO hat das absolut nix mit der Größe des Netzes zu tun, sondern viel
mehr damit wieviel man für Sicherheit investieren möchte (muss) und wie
sensibel evtl. Daten auf den Arbeitsplatz-PC's sind. Ist eigentlich
schon logisch, dass ein Privatmensch mit ner 0815-DSL-Flat sowas wohl
nicht in der Art betreiben wird ;-)
> ("Richtige Sicherheit kann ich eh nicht erreichen, also lass ich's
> ganz").
Auch auf die Gefahr hin philosophisch zu werden, aber was verstehst Du
bitte unter richtige Sicherheit? Sicherheit ist in dem Sinne ein
Konzept. Du schaffst es sowieso nicht mit Hard- und Software alles zu
erschlagen, da es ja u.a. noch den schwer zu kalkulierenden Faktor
"Mensch" gibt. Ich erinnere mich da immer wieder an so einige
Büromitarbeiter die den Zettel mit Benutzername und Passwort an den
Bildschirm heften. Solche Sachen sieht man auch sehr häufig in
öffentlichen Einrichtungen die sensible Daten verwalten!
> In dem Fall reicht IMHO auch:
>
> {Internet}<------>[Router|Firewall]<------>{LAN}
> ^
> |
> {DMZ}
> [DeinLinuxPC]
Sicher man kann das ganze abspecken. Das was ich da oben beschrieben
habe ist aber soweit ich weiß momentan state of the art...
> Wobei man noch argumentieren kann, ob man Router und Firewall trennt,
> oder gleich ein Gerät für beides nimmt.
Jetzt ist die Frage wovon reden wir. Bei größeren Netzen sind diese
Sachen IMHO getrennt, mehrfach redundant und meist auch noch mehrfach
hintereinander zu finden.
mfg
Erik
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Fri, 21 Jan 2005 00:32:44 +0000 (UTC) |
|
|
| Erik Griffin <1f4e5381573d4a9c00e0b61302a4167f@nurfuerspam.de> wrote:
>> Bei kleineren Netzen ist das IMHO Overkill und schreckt höchtens ab
>
> IMHO hat das absolut nix mit der Größe des Netzes zu tun, sondern viel
> mehr damit wieviel man für Sicherheit investieren möchte (muss) und wie
> sensibel evtl. Daten auf den Arbeitsplatz-PC's sind.
Mit "klein" meinte ich auch eher "für potentielle Angreifer
durchschnittlich interessant, schützt keine $100M Firmengehimnisse"
>> ("Richtige Sicherheit kann ich eh nicht erreichen, also lass ich's
>> ganz").
>
> Auch auf die Gefahr hin philosophisch zu werden, aber was verstehst Du
> bitte unter richtige Sicherheit? Sicherheit ist in dem Sinne ein
> Konzept.
[...]
ACK. Das sollte auch eher die Reaktion des $durchschnittsadmin von
$kleinnetzwerk_wie_oben erläutern.
> Sicher man kann das ganze abspecken. Das was ich da oben beschrieben
> habe ist aber soweit ich weiß momentan state of the art...
State of the Art für was? Um das Firmennetz von $Großunternehmen
abzusichern, meinetwegen. Für das 5-PC-Netz von ortsansässigen Schreiner
möglicherweise eher nicht.
> Jetzt ist die Frage wovon reden wir. Bei größeren Netzen sind diese
> Sachen IMHO getrennt, mehrfach redundant und meist auch noch mehrfach
> hintereinander zu finden.
Ich reden vom Netz des OPs. Also irgendwas, wo man mit einem einfachen
LinuxPC als "grafische Firewall" auskommt. Also irgendwas zwischen 5-25
Rechner, wie ich einfach mal dreist vermute.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Christian Garbs | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 23:05:07 +0100 (CET) |
|
|
| Knut Singer wrote:
[...]
> Stattdessen kann jeder Benutzer von seinem Arbeitsplatz PC (leider
> unumstößlich Windows) zu diesem Linux "Internetrechner" per
> Fernwartungssoftware/Remote Desktop oder wie auch immer man das nennen
> will (z.B. VNC) eine Verbindung aufbauen und so "ferngesteuert" im
> Internet surfen.
>
> Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
> an dieser Stelle schon einem Denkfehler auf?
Zusammen mit geeigneten Firewalls (einmal draußen/Internet-PC und dann
Internet-PC/internes Netz) hast Du nur noch eine "bildliche"
Verbindung in die DMZ und das ganze wirkt wie ein großer Proxy.
Sollte recht sicher sein.
Selbst, wenn der Surf-PC von Viren o.ä. befallen wird: Die werden sich
über das VNC-Protokoll nur schwerlich auf Deinen eigentlichen Rechner
ausbreiten.
Trojaner, Keylogger und anderes Phishing-Gedöns könnten sich aber
eventuell auf dem Internet-PC einnisten und würden dort weiterhin
funktionieren.
Irgendwo habe ich in den letzten Jahren dieses Modell schon mal unter
dem Namen "grafische Firewall" gesehen. Google findet leider nicht
das, was ich suche, aber u.a. hier wird das Verfahren auch erwähnt:
http://www.datenschutzzentrum.de/material/tb/tb22/kap7.htm
> Hauptfrage:
> Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts zur
> Verfügung stehen (entweder dauerhauft oder gestartet bei Anfrage),
> sodass mehrere Leute gleichzeitig surfen können?
Jeder surfende User muss "vncserver" starten, dann kann er auf einen
VNC-Desktop zugreifen. Entweder, er startet "seinen" Server von Hand
(z.B. über SSH-Zugang) oder Du schreibst ein zentrales Skript, dass
die Server entsprechend automatisch startet.
Ganz ins Unreine gesprochen irgendwie sowas als root:
#!/bin/bash
USERNAME[1]=hans
USERNAME[2]=klaus
USERNAME[3]=erna
USERNAME[4]=karl
for DISPLAYNUMBER in 1 2 3 4; do
sudo -u $USERNAME[$DISPLAYNUMBER] bash <while true; do
vncserver :$DISPLAYNUMBER -name "VNCserver von $USERNAME[$DISPLAYNUMBER]"
done
EOF
done
Vielleicht gibt es da auch schon was fertiges.
Eine Alternative zu VNC wäre ganz normales X-Geschäft: Der
Internetrechnet bietet ein X-Login an und auf allen Windows-Clients
werden X-Server (z.B. X.org von Cygwin) installiert.
Ich vermute mal, die X-Protokolle sind anfälliger für Attacken als
VNC. Wie sich die Anzeigegeschwindigkeit von X im Vergleich zu VNC
verhält, weiß ich nicht.
Gruß,
Christian
--
.....Christian.Garbs.....................................http://www.cgarbs.de
"I'd crawl over an acre of 'Visual This++' and 'Integrated Development
That' to get to gcc, Emacs, and gdb. Thank you."
(Vance Petree, Virginia Power)
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 00:10:01 +0000 (UTC) |
|
|
| Christian Garbs wrote:
> Ich vermute mal, die X-Protokolle sind anfälliger für Attacken als
> VNC.
Das halte ich so für reine Spekulation.
> Wie sich die Anzeigegeschwindigkeit von X im Vergleich zu VNC
> verhält, weiß ich nicht.
Vermutlich ist VNC "besser". Aber in nem Netzwerk > 10Mbit dürfte das
nicht weiter auffallen.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Jochen Schmid | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 20 Jan 2005 11:55:08 GMT |
|
|
| Am 2005-01-18 23:05 CET schrieb Christian Garbs:
> Wie sich die Anzeigegeschwindigkeit von X im Vergleich zu VNC
> verhält, weiß ich nicht.
X ist *deutlich* schneller (im LAN).
--
|
|
| | From: | Christian Garbs | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Fri, 21 Jan 2005 14:26:18 +0100 (CET) |
|
|
| Christian Garbs wrote:
> Vielleicht gibt es da auch schon was fertiges.
Eventuell FreeNX. Das ist ähnlich VNC, aber schneller und bietet IIRC
auch die Möglichkeit, einen Server mit vielen Logins für viele User
bereit zu stellen (ich habe mir das nur mal kurz angeguckt gehabt):
http://www.nomachine.com/
Gruß,
Christian
--
.....Christian.Garbs.....................................http://www.cgarbs.de
\o __o o o \o |o |o >> /\/ o__ _o o/
| | /| |\ | / /|/ \|o o\ | \ \ |
| | << << << | << < \
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 15:08:40 +0100 |
|
|
| Zusammenfassend an alle die mir geantwortet haben, erstmal mein
Dankeschön. Natürlich auch an alle, auf deren Beiträge ich hier im
Thread nicht geantwortet habe.
Ich denke, die nötigen Stichpunkte für den Einstieg, anhand derer ich
nun herumexperimentieren und weitergoogeln kann, habe ich nun mit Eurer
Hilfe bekommen.
Danke,
Knut
|
|
| | From: | Jochen Rapp | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 21:52:30 +0100 |
|
|
| Hallo Knut,
warum der Aufwand?
1) nimm Linux-Rechner als Router-Firewall dann sind die
Windows-Sicherheitslückem Deines Rechners unsichtbar
2) verzichte auf Outlook und IExplorer, das erhöht die Surfsicherheit
3) richte auf den windoofs-rechner einen speziellen Benutzer für das Surfen im
INternet ein, der nur eingeschränkte Rechte hat
damit müsste es gehen
Gruss Jochen
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 22:22:41 +0100 |
|
|
| Hi,
>
> 1) nimm Linux-Rechner als Router-Firewall dann sind die
> Windows-Sicherheitslückem Deines Rechners unsichtbar
>
> 2) verzichte auf Outlook und IExplorer, das erhöht die Surfsicherheit
>
> 3) richte auf den windoofs-rechner einen speziellen Benutzer für das
> Surfen im INternet ein, der nur eingeschränkte Rechte hat
>
> damit müsste es gehen
so habe ich es ja jetzt schon. FLI4L, zusätzlich Firewall im DSL-Router,
Thunderbird und Firefox. Spezielle Benutzerrechte am lokalen
PC-Dateisystem gehen nicht, weil Windows ME...
Das mit dem Extra-Rechner kam mir neulich in den Sinn und ich würde es
jetzt gerne mal ausprobieren..
Mein Problem ist nur, wie ich es managen kann, dass ein Benutzer
automatisch einen freien KDE-Desktop zugewiesen bekommt..
Ciao, Knut
|
|
| | From: | Michael Bode | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 23:12:00 +0100 |
|
|
| Knut Singer writes:
> Mein Problem ist nur, wie ich es managen kann, dass ein Benutzer
> automatisch einen freien KDE-Desktop zugewiesen bekommt..
Wozu braucht der zum Surfen einen kompletten KDE Desktop? Ein Mozilla
dürfte doch reichen. Dazu empfiehlt sich ein X Server auf dem Windows
Rechner.
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 23:28:00 +0100 |
|
|
| Hi,
>
> Wozu braucht der zum Surfen einen kompletten KDE Desktop? Ein Mozilla
> dürfte doch reichen. Dazu empfiehlt sich ein X Server auf dem Windows
> Rechner.
Wenn es ohne Desktop auch geht - OK... - sogar noch besser, weil weniger
Resourcen nötig..
Aber wie kriege ich denn nun den X-Server des Windows-PC dazu, eine
Sitzung auf dem Linux-Rechner zu starten? Am besten, ohne dass für jeden
der 15 potentiellen Benutzer ständig eine Sitzung vor sich hinschlummern
muss..
Ich weiß, das ist ja eigentlich die Urdomäne von Linux - Multiuser -
aber ich habe bisher NULL Ahnung davon... ;-(
Ciao, Knut
|
|
| | From: | Stephan Krause | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 00:11:18 +0000 (UTC) |
|
|
| Knut Singer wrote:
> Aber wie kriege ich denn nun den X-Server des Windows-PC dazu, eine
> Sitzung auf dem Linux-Rechner zu starten? Am besten, ohne dass für jeden
> der 15 potentiellen Benutzer ständig eine Sitzung vor sich hinschlummern
> muss..
Bei einem normales X-Server:
X -query $IP_DES_SERVERS
Bei komerziellen möglicherweise über irgendwelche Konfigurationsdialoge.
Stephan
--
Technology is nothing more than applied magic.
|
|
| | From: | Dirk Deimeke | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 06:28:15 +0100 |
|
|
| Knut Singer:
> Aber wie kriege ich denn nun den X-Server des Windows-PC dazu, eine
> Sitzung auf dem Linux-Rechner zu starten? Am besten, ohne dass für jeden
> der 15 potentiellen Benutzer ständig eine Sitzung vor sich hinschlummern
> muss..
- Xserver von Cygwin installieren und starten.
- In der Shell "xhost +" eingeben.
- Ein "ssh -X @" ausführen.
- Dort "export DISPLAY=:0.0" eintippen.
- firefox starten
Das ganze ist natürlich skriptbar!
Dirk
|
|
| | From: | Mario Kleinboelting | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 19 Jan 2005 06:46:00 GMT |
|
|
| On Wed, 19 Jan 2005 06:28:15 +0100, Dirk Deimeke wrote:
> [...]
> - Xserver von Cygwin installieren und starten.
> - In der Shell "xhost +" eingeben.
> - Ein "ssh -X @" ausführen.
> - Dort "export DISPLAY=:0.0" eintippen.
Warum nutzt du erst SSH X11 Forwarding und leitest dann doch alles
auf das X Display 0.0 um.
> - firefox starten
>
> Das ganze ist natürlich skriptbar!
Aber auch gleichzeitig böse[tm].
regards
Mario
--
:wq\n *arg* C-p C-k C-x C-s C-x C-c
|
|
| | From: | Dirk Deimeke | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 09:46:07 +0100 |
|
|
| Mario Kleinboelting:
> Warum nutzt du erst SSH X11 Forwarding und leitest dann doch alles
> auf das X Display 0.0 um.
Völliger Dünnsinn. Du hast Recht ... (zur Entschuldigung: Ich war
schon halb auf dem Weg zur Arbeit).
> Aber auch gleichzeitig böse[tm].
Das ist es immer ...
Dirk
|
|
| | From: | Mario Kleinboelting | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 19 Jan 2005 09:56:59 GMT |
|
|
| On Wed, 19 Jan 2005 09:46:07 +0100, Dirk Deimeke wrote:
> Mario Kleinboelting:
>
>> Warum nutzt du erst SSH X11 Forwarding und leitest dann doch alles
>> auf das X Display 0.0 um.
>
> Völliger Dünnsinn. Du hast Recht ... (zur Entschuldigung: Ich war
> schon halb auf dem Weg zur Arbeit).
Verstehe. Dort macht ihr das dann immer so, oder wie jetzt. ;-)
>> Aber auch gleichzeitig böse[tm].
>
> Das ist es immer ...
scnr
Mario
--
:wq\n *arg* C-p C-k C-x C-s C-x C-c
|
|
| | From: | Dirk Deimeke | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 14:27:54 +0100 |
|
|
| Mario Kleinboelting:
> Verstehe. Dort macht ihr das dann immer so, oder wie jetzt. ;-)
Genau ;-)
Ich habe zwei Sachen irrtümlicherweise zusammengeworfen ...
Dirk
|
|
| | From: | Frank Boehm | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 19 Jan 2005 10:12:15 GMT |
|
|
| Dirk Deimeke wrote:
> Knut Singer:
>
> > Aber wie kriege ich denn nun den X-Server des Windows-PC dazu, eine
> > Sitzung auf dem Linux-Rechner zu starten? Am besten, ohne dass für jeden
> > der 15 potentiellen Benutzer ständig eine Sitzung vor sich hinschlummern
> > muss..
>
> - Xserver von Cygwin installieren und starten.
> - In der Shell "xhost +" eingeben.
> - Ein "ssh -X @" ausführen.
> - Dort "export DISPLAY=:0.0" eintippen.
> - firefox starten
Entweder oder
wenn ein "ssh -X" moeglich ist, d.h. forwarding von X auf dem ssh server
fuer diesen client, wird automagisch eine passende DISPLAY Variable fuer
den X Server gesetzt und alle Daten verschluesselt uebertragen.
Bei telnet muesste sowohl der lokale X Server mit "xhost + ..."
geoeffnet werden, als auch eine DISPLAY Variable gesetzt, damit ein X
Programm den gewuenschten X Server findet.
Nur ssh, um ein X Programm zu starten, ist sinnlos, wenn ohne
Verschluesselung eine Verbindung zum X Server direkt aufgebaut wird.
cu Frank
--
Life's too short to read boring signatures.
|
|
| | From: | Dirk Deimeke | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 05:36:52 +0100 |
|
|
| Frank Boehm:
> wenn ein "ssh -X" moeglich ist, d.h. forwarding von X auf dem ssh server
> fuer diesen client, wird automagisch eine passende DISPLAY Variable fuer
> den X Server gesetzt und alle Daten verschluesselt uebertragen.
Du hast Recht. Ich war im verkehrten Film. Im Normalfall funktioniert ein
"ssh -CX" bestens.
> Nur ssh, um ein X Programm zu starten, ist sinnlos, wenn ohne
> Verschluesselung eine Verbindung zum X Server direkt aufgebaut wird.
Ack!
Dirk
|
|
| | From: | Jochen Schmid | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 20 Jan 2005 11:43:44 GMT |
|
|
| Am 2005-01-19 11:12 CET schrieb Frank Boehm:
> wenn ein "ssh -X" moeglich ist, d.h. forwarding von X auf dem ssh server
> fuer diesen client, wird automagisch eine passende DISPLAY Variable fuer
> den X Server gesetzt und alle Daten verschluesselt uebertragen.
Wozu soll er eine verschlüsselte Verbindung zwischen seiner
Linux-Bastion und dem Arbeitsplatz aufbauen? Das interne Netz sollte
doch zumindest so vertrauenswürdig sein, wie das Internet. Schließlich
laufen nur "Surfdaten".
> Bei telnet muesste sowohl der lokale X Server mit "xhost + ..."
> geoeffnet werden, als auch eine DISPLAY Variable gesetzt, damit ein X
> Programm den gewuenschten X Server findet.
Wenn man das in ein Script packt, stört das nicht. Außerdem kann er ja
auf dem Arbeitsplatz-PC ein twm mit Mozilla starten. Oder beherrscht
Mozilla sogar einen Kiosk-Modus?
--
|
|
| | From: | Michael Bode | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 21:52:39 +0100 |
|
|
| Dirk Deimeke writes:
> - Xserver von Cygwin installieren und starten.
Ja
> - In der Shell "xhost +" eingeben.
IMHO nicht nötig
> - Ein "ssh -X @" ausführen.
Bei aktuellem cygwin muß man ssh -Y nehmen.
> - Dort "export DISPLAY=:0.0" eintippen.
Auch nicht nötig.
> - firefox starten
Das schon.
|
|
| | From: | Dirk Deimeke | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 05:37:41 +0100 |
|
|
| Michael Bode:
> Bei aktuellem cygwin muß man ssh -Y nehmen.
Das wäre mir neu ...
Dirk
|
|
| | From: | Ansgar -59cobalt- Wiechers | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 18 Jan 2005 23:17:47 GMT |
|
|
| Knut Singer wrote:
> Ich stelle mir einen Linux-PC vor, der in der "Demilitarized Zone"
> (heißt das so? / schreckliche Bezeichnung ) steht.
>
> Internetzugänge an Arbeitsplatz-PCs sind vollständig im Router/Firewall
> deaktiviert. Es geht nichts rein und nichts raus.
>
> Stattdessen kann jeder Benutzer von seinem Arbeitsplatz PC (leider
> unumstößlich Windows) zu diesem Linux "Internetrechner" per
> Fernwartungssoftware/Remote Desktop oder wie auch immer man das nennen
> will (z.B. VNC) eine Verbindung aufbauen und so "ferngesteuert" im
> Internet surfen.
>
> Zwischenfrage a): Das erhöht doch die Sicherheit tatsächlich, oder sitze
> an dieser Stelle schon einem Denkfehler auf?
Ja. Nein. Man nennt sowas auch "grafische Firewall", weil dabei nur
Bilder übertragen werden. Vorteil: Du musst nur einen Rechner zentral
absichern. Nachteil: Du brauchst relativ viel Leistung, weil mehrere
Benutzer gleichzeitig auf der Kiste arbeiten können müssen.
> Hauptfrage:
> Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts zur
> Verfügung stehen (entweder dauerhauft oder gestartet bei Anfrage),
> sodass mehrere Leute gleichzeitig surfen können? Hier fehlt mir leider
> zurzeit völlig jegliche Idee, wie ich hier anfangen könnte...
Ich würde Dir eher empfehlen, das mit Windows zu machen. Die Windows-
Terminaldienste sind im Gegensatz zu X11 genau für sowas ausgelegt und
brauchen deutlich weniger Bandbreite als beispielsweise VNC. MetaFrame
braucht noch weniger, kostet aber nochmal extra.
Wenn man den Terminalserver vernünftig absichert (Server in die DMZ,
restriktive Benutzerrechte, überflüssige Dienste aus, keine Freigaben,
Terminaldienste restriktiv konfiguriert, Mozilla drauf, IE auf localhost
und WindowsUpdate beschränkt, etc.), dann entspricht diese Lösung
ziemlich genau Deinen Ansprüchen. Außer, dass sie nicht auf Linux
basiert.
cu
59cobalt
--
"Those who would give up liberty for a little temporary safety
deserve neither liberty nor safety, and will lose both."
--Benjamin Franklin
|
|
| | From: | Bernd Kreuss | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Thu, 20 Jan 2005 14:53:25 +0100 |
|
|
| * Ansgar -59cobalt- Wiechers:
> Ich würde Dir eher empfehlen, das mit Windows zu machen. Die Windows-
> Terminaldienste sind im Gegensatz zu X11 genau für sowas ausgelegt und
> brauchen deutlich weniger Bandbreite als beispielsweise VNC. MetaFrame
> braucht noch weniger, kostet aber nochmal extra.
Warum denn immer gleich Windows? Wie wärs mit NX? Geschwindigkeit,
Bandbreite und sonstige Vorteile wie bei RDP und dabei vollkommen ohne
Windows und mittlerweile wohl alles unter GPL zu bekommen (freeNX). Auf der
Knoppix-CD solls angeblich auch drauf sein. Bei nomachine gibts Clients für
viele OS und Testzugänge auf deren Server zum Ausprobieren und Staunen.
Bernd
|
|
| | From: | Frank Boehm | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 21 Jan 2005 09:07:09 GMT |
|
|
| Bernd Kreuss wrote:
>
> Warum denn immer gleich Windows? Wie wärs mit NX? Geschwindigkeit,
> Bandbreite und sonstige Vorteile wie bei RDP und dabei vollkommen ohne
> Windows und mittlerweile wohl alles unter GPL zu bekommen (freeNX). Auf der
> Knoppix-CD solls angeblich auch drauf sein. Bei nomachine gibts Clients für
> viele OS und Testzugänge auf deren Server zum Ausprobieren und Staunen.
Schon Gelegenheit gehabt das praktisch auszutesten? Bis jetzt hatte ich
noch keine Zeit dafuer.
cu Frank
--
Why are married women heavier than single women?
Single women come home, see what's in the fridge and go to bed.
Married women come home, see what's in bed and go to the fridge.
--Mort Bernstein
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Wed, 19 Jan 2005 00:44:54 +0100 |
|
|
| Hi,
>
> Ich würde Dir eher empfehlen, das mit Windows zu machen. Die Windows-
> Terminaldienste sind im Gegensatz zu X11 genau für sowas ausgelegt und
> brauchen deutlich weniger Bandbreite als beispielsweise VNC. MetaFrame
> braucht noch weniger, kostet aber nochmal extra.
>
danke für die Tipps.. aber Windows Terminal-Server kommt nicht in Frage...
a) wegen der Kosten
und
b) will ich endlich einmal in meinem Leben ein Linux so nutzen, wofür es
ja eigentlich gedacht ist.. (Viele Benutzer an einem PC..)
Ciao, Knut
|
|
| | From: | Mario Kleinboelting | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | 19 Jan 2005 06:50:43 GMT |
|
|
| On Tue, 18 Jan 2005 20:26:53 +0100, Knut Singer wrote:
>[...]
> Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts zur
> Verfügung stehen (entweder dauerhauft oder gestartet bei Anfrage),
> sodass mehrere Leute gleichzeitig surfen können? Hier fehlt mir leider
> zurzeit völlig jegliche Idee, wie ich hier anfangen könnte...
Du erzähltest, daß du I4L benutzt. Wenn VNC in deine DMZ erlaubt ist
kannst du ja auch Anstatt VNC direkt einen Proxy einsetzen und
direkte Verbindungen vom LAN ins Internet verbieten.
Der Proxy muß dann im Firefox auf dem Windows Rechner eingetragen
werden und alles klappt super. AFAIK gibt für I4L auch ein Squid
Modul. Angenehmer Nebeneffekt ist eine Beschleunigung beim Surfen weil
der Proxy so "nebenbei" auch noch einen Cache vorhält. ;-)
regards
Mario
--
:wq\n *arg* C-p C-k C-x C-s C-x C-c
|
|
| | From: | Sub.Joerg.Haas Michael Tabel | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 22:25:46 +0100 |
|
|
| Knut Singer wrote:
>
> Wie kann ich den Linuxrechner so einrichten, dass mehrere Deskopts
> zur Verfügung stehen...
Linux/Unix kann das von Haus aus. Du kannst auf dem Server ein X
Starten und auf deinen Clients können die Bildschirme sein.
Gruss
Sub.Joerg.sh -> M'kah-el
--
Joerg Haas am 02.08.2004: dem Leiter der Business-Unit Privatkunden bei
NetCologne gefaellt die Art und Weise nicht, wie ich und diverse andere
Mitarbeiter hier *ihre* Meinung vertreten. Ich bin namentlich dazu auf-
gefordert worden, generell das Posten in den Newsgroups zu unterlassen.
|
|
| | From: | Knut Singer | | Subject: | Re: Linux Internetzugangs - PC per VNC o.ä. | | Date: | Tue, 18 Jan 2005 22:55:24 +0100 |
|
|
| Hi,
>
> Linux/Unix kann das von Haus aus. Du kannst auf dem Server ein X
> Starten und auf deinen Clients können die Bildschirme sein.
>
dass das prinzipiell geht, ist mir ja klar..
aber wie mache das nun konkret?
Danke, Knut
|
|
