ich habe heute eine Lösung für veracrypt versucht und folgendes probiert:
Das erste Problem war, dass Veracrypt sudo braucht, aber ein Eintrag der teacher in die Datei /etc/sudoers leider dazu führt, dass sich die Lehrer im Folgenden nicht mehr einloggen können, wie von Holger hier beschrieben:
Also habe ich, wie in dem thread von Dorian vorgeschlagen, eine Datei
/etc/sudoers.d/98-linuxmuster-linuxclient7
mit folgendem Inhalt angelegt:
%role-teacher ALL=(root) ALL
Danach kann man sich einloggen und mit veracrypt arbeiten, muss sich allerdings einmal mit seinem Passwort legitimieren.
Das zweite Problem war etwas hartnäckiger: Der entschlüsselte Container blieb als Laufwerk auch für nochfolgende User sichtbar, auch wenn diese nicht darauf zugreifen konnten. Die Lösung habe ich hier gefunden:
Was Dorian hier mit Bedauern erwähnt, passt in diesem Fall. Ich habe eine Datei
gibt es mitlerweile jemanden, der veracrypt auf seinem Linuxclient so zum Laufen gebracht hat, dass alle Benutzer es nutzen können, ohne dass alle dann root-Rechte für alles haben?
Mit dem letzten Parameter bei jedem Benutzer / jeder Gruppe, Also root ALL = (ALL:ALL) ALL das letzte „All“, kann man definieren für welche befehle / Skripte die Ausführung als Sudo erlaubt werden
wenn da jetzt z.b. Steht
%users ALL=(root) /usr/local/bin/veramount.sh
Dann darf nur für dieses veramount.sh sudo angewendet werden.
Mit Holgers Hinweis, müsste es dann wohl so aussehen, wenn man den Lehrer veracrypt erlauben will:
visudo /etc/sudoers.d/99-linuxmuster-linuxclient7
%role-teacher ALL=(root) NOPASSWD: /usr/bin/veracrypt
%role-student ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-teacher ALL=(root) NOPASSWD: /usr/share/linuxmuster-linuxclient7/scripts/sudoTools
%role-schooladministrator ALL=(ALL:ALL) NOPASSWD: ALL
%role-globaladministrator ALL=(ALL:ALL) NOPASSWD: ALL
Nach etwas Recherche habe ich allerdings bemerkt, dass es wohl keinen wirklich sichern Weg gibt veracrypt unter Linux einzusetzen, da es um zu funktionieren immer erlaubt sein muss, ein Dateisystem mit Root-Rechten zu nutzen.
Und auch lehrerfortbildung-bw.de schränkt die Empfehlung zum Gebrauch so ein, dass man es höchstens noch am privaten Computer einsetzen soll und das auch nur mit Vorsichtmaßnahmen:
Hat jemand eine Ahnung, ob es ohne zu großen Aufwand sicher eingesetzt werden kann, wenn man es in einer Sandbox zum Laufen bekommt - z.B. mit Firejail? Damit kenne ich mich noch gar nicht aus.
Morgen,
aus meiner Sicht sind die Schuelerrechner sowieso Kanonenfutter, gelten fuer mich per Definition als kompromitiert, da diese ja auf vielen Wegen uebernommen werden koennen. Ob das jetzt ein Boot-USB-Stick ist, einer der regelmaessigen Kernelexploits oder was auch immer. Den USB-Stick zieh ich ja nach der Nutzung auch wieder raus.
Ich sehe da keine grossen Probleme, wenn ich an Rechnern in PC-Raeumen arbeite, dann „mounte“ ich da grundsaetzlich keine sensiblen Devices und mache von dort auch keine ssh-Sitzungen auf Server mit schuetzenswertem Inhalt.
Gruss Harry
„Generell“ spricht ja nichts dagegen diese Logout Hook als Root laufen zu lassen und darüber hinaus den Befehl mit Sudo Rechten für alle Nutzer oder Teacher freizugeben.
So kann ich unter sysvol einfach in den Serverseitigen Startscripten einfach so etwas hier reinschreiben:
#!/bin/bash
validRooms="nb"
for room in $validRooms; do
if [ "$room" = "$Computer_sophomorixComputerRoom" ]; then
if ! cat /etc/sudoers.d/99-linuxmuster-linuxclient7 | grep "%role-teacher ALL=(ALL:ALL) ALL" ; then
# write teachers permission in first line so nopasswd for linuxmuster-linuxclient7 tools overrides need for password
sed -i '1s/^/%role-teacher ALL=(ALL:ALL) ALL\n/' /etc/sudoers.d/99-linuxmuster-linuxclient7
fi
fi
done
Und mit einmal haben Lehrer jegliches Sudo Recht in diesem Raum. Mit den Informationen hier im Thread kann man das natürlich noch anpassen und das ALL durch das Veracrypt Mount Kommando oder ein eigenes Script anpassen.
