Linux, nur ohne die Freiheit?

Du brauchst eine andere Distribution als Ubuntu, bei der Du nicht einfach die automatische Paketauswahl benutzt, sondern manuell die unerwünschten Pakete vor der Installation abwählst.

Ein eingeschränkter User ohne Rootpasswort kann dann üblicherweise auch keinen Unfug machen.

Internetzugang beschränkst Du besser auf dem Router. Idealerweise auf einem Router mit Linux ;-)

Eine spezielle Distribution, mit der man aus einem alten Rechner einen Router machen kann, und mehr Kontrolle als mit einem SOHO-Router hat, ist IPCOP: http://www.ipcop.org/

Forum unter:

http://www.ipcop-forum.de/

Mit dem Distribution-Chooser auf http://2klick.tk/k findest Du zunächst genau die Linux-Distribution, welche zu Deinen Bedürfnissen passt.

* Mit einer passwortgesicherten Paketverwaltung kannst Du Spiele etc. aus dem System verbannen/löschen und Dein System so darstellen, dass sämliche unnötigen Programme deinstalliert werden.

* Für die Abschaltung von Internet/Computer würde ich persönlich wohl einen cron-Job einsetzen (siehe http://2klick.tk/l). Ich denke, das ist die einfachste und sicherste Lösung.

* Die Nutzung einer Whitelist erscheint mit nicht ganz so einfach zu lösen. Deshalb rate ich trotz Deiner Abneigung zu Blacklists zu DandGuardian (http://2klick.tk/m). Sieh es Dir einfach mal an, vielleicht kommst Du ja damit zumindest Deiner Wunschlösung einigermaßen nahe.

Wenn du volle Kontrolle über die installierten Pakete haben willst und es vor allem stabile Versionen sein sollen, führt kein Weg an Debian stable vorbei. Stell in Aptitude die Option "Empfohlene Pakete automatisch installieren" einfach ab und du bekommst mit Metapaketen wie gnome-core eine recht spartanische Oberfläche. Je nach Geschmack kannst du dann um benötigte Software erweitern. Das wäre Punkt 1. Zu Punkt zwei kann ich nur sagen, dass das relativ unmöglich ist. Es gibt unter Windows zwar Cybernannies und ähnliches, aber die Kiddies wissen meist besser als die Erwachsenen, wie sie die austricksen. Du kannst zwar via IP Tables bestimmte Netzadressen ausschließen, aber Porno-Seiten und auch Abo-Fallen schiessen wie Pilze aus dem Boden, du bist praktisch nur damit beschäftigt neue Adressen zu blacklisten. Besser wäre es den Nutzern damit zu drohen, dass ihre Bewegungen im Netz aufgezeichnet werden und dann entsprechende Konsequenzen ziehen. Das zieht auch bei Kiddies.

Die zeitliche Limitierung ist so eine Sache. Der einfachste Fall ist natürlich ein cron Job, der den Rechner nach einer bestimmten Zeit einfach wieder runterfährt, dazu schau einfach mal in die man page. Du kannst auch SSH drauf machen und den Rechner von Hand remote runterfahren.

Nachtrag:

Das mit sudo kann man einstellen in etc/sudoers, wenn man das überhaupt will, unter Debian ist standardmäßig niemand in dieser Gruppe, sondern man muss mit su wechseln und dazu braucht man das root Passwort. Die Sache mit der White-List ist rein theoretisch über ip-Tables möglich erfordert aber einen großen Aufwand. ip Tables ist eine Softwarefirewall und kommt standardmäßig mit Debian, die Syntax ist irgendwas zwischen Perl und Shellscript, aber das Tool ist verdammt mächtig.

Mal ein rein theoretischer Nachtrag:

Du könntest den Nutzer auch in einer virtualisierten Umgebung arbeiten lassen, beispielsweise mittels KVM. Der Witz an der Sache besteht darin, dass man den User im Glauben lässt, er würde direkt an der Maschine arbeiten und er gar nicht weiß, dass er in einer abgeschlossenen Umgebung ist. Hat der User zuviel Unsinn gemacht, wird die virtualisierte Maschine einfach platt gemacht und durch eine (natürlich vorher gemachte) Kopie ersetzt. Auch hier würde ich für die Grundmaschine und den virtualisierten Rechner Debian vorschlagen. Sudo Probleme gibt es nicht, die Pakete sind nach wie vor frei und möglichst minimal wählbar und die zeitlich limitierte Nutzung kann ebenfalls mit Methoden deiner Wahl umgesetzt werden.

Oh Mann. Ein Haufen qualifizierter Antworten, so ist man das hier ja gar nicht gewohnt.

Grundsätzlich ist die Frage, ob du nur einen Rechner so einrichten willst oder mehrere, sonst gibt dir jedes vernünftige GNU/Linux schon richtige Mittel das einzurichten, es ist schließlich genau für solche Sachen geeignet. Ich gehe deswegen mal davon aus, dass es sich um einen einzelnen Computer handelt.

Zum ersten Punkt kann man sagen, dass du dir die Distribution aussuchen kannst. Nimm die, die am besten läuft, wo du die beste Erfahrung hast, oder wo dir sonst was gefällt. So lange du ne Paketverwaltung hast, solltest du keine Probleme haben die Pakete, die dir nicht gefallen zu entfernen. Ob du jetzt mit ner kleinen Distribution anfängst und manuell dazu installierst oder eine große zurecht stutzt ist mehr oder weniger Geschmackssache. Bei Unklarheiten sind Distributionslisten und Webseiten der einzelnen Distributionen zu Rate zu ziehen. Allerdings kann man sich auf automatische Distributionswähler nicht verlassen, die empfehlen einem meistens Blödsinn.

Dann zu Punkt zwei. Klar kann man solche Sperren oft tunneln, aber das heißt nicht, dass man sie weglassen sollte oder dass es keinen Weg gibt so was teilweise zu realisieren. Für Linux gibt es keine Firewalls, Linux hat eine Firewall: iptables. Ist im Kernel integriert und haut diese bunten proprietären Desktop-Firewalls für diejenigen, die meinen im lokalen Netz bräuchte man so was, locker in die Tonne.

Natürlich unterstützt iptables Blockerei von innen wie von außen. Es gibt auch verschiedene Wege es zu bedienen, aber das kannst du selbst recherchieren.

Dann zum letzten Punkt: timeoutd loggt den Benutzer ganz aus, mit Internet einzeln begrenzen ist da nichts.

Von dem ganzen Mal abgesehen bekommt der Benutzer dann natürlich keine root rechte und soll sudo überhaupt nicht benutzen dürfen. Ob sudo einen nämlich nach nem Passwort fragt, es sein lässt oder einen überhaupt durchlässt ist eine Sache der Konfiguration. Ich hab keine Ahnung, wie das bei Ubuntu eingestellt ist, aber normalerweise müssen Benutzer so was wie der Gruppe "wheel" angehören, um sudo nutzen zu dürfen. Um diese Rechte zu verändern gibt es das Programm visudo (Informationen hierüber gibt es - oh Wunder - auch im Internet). Dort kann der Zugriff auf sudo für Nutzer oder Gruppen auf einzelne Programme beschränkt, erlaubt oder ganz verboten werden.

Normalerweise (bei der "üblichen" Einstellung, die bei großen Distributionen allerdings oft abweicht) wird man auch nicht nach dem Root-Passwort gefragt, sondern nach seinem eigenen.

1.: deine benutzer bekommen keine root- bzw sudo-rechte, dann können sie auch nichts installieren. wenn die benutzer nicht gerade programmierer sind bekommen sie auch keine zugriffsrechte auf den gcc, so dass sie auch nicht die paketverwaltung umgehen können indem sie aus den quellen ins home-verzeichnis compilieren.

2.: manche router sollten so was können. ansonsten wäre eine lösung, keinen dns-server einzustellen, bzw. einen ungültigen, und die freigeschalteten seiten direkt in /etc/hosts einzutragen. oder, weil sich ja auch mal was ändern kann, einen eigenen firmenweiten dns-server aufzusetzen der eben nur bestimmte einträge kennt. lässt sich allerdings relativ einfach umgehen, wenn man die ip-adressen der gewünschten seiten kennt. wenn du einen linux-rechner als router oder proxy verwendest kannst du auch einfach die routingtabelle ändern.

es gibt aber auch für linux firewalls, und es würde mich wundern wenn keine davon whitelists unterstützen würde...

3.: timeoutd wurde ja schon genannt.

4.: bei sudo wird man nach dem eigenen passwort gefragt. man kann aber einstellen, welche benutzer überhaupt sudo verwenden dürfen.

nur wozu braucht man das? wenn dann doch mal plötzlich eine seite benötigt wird an die keiner vorher gedacht hat, oder stell dir mal vor die adresse vom mailserver ändert sich, und keiner ist da der die einstellungen ändern kann, dann hast du ein riesenproblem. oder wenn eine wichtige mail von einem ausländischen kunden erwartet wird, und keiner weiss wann sie kommt, dann muss man schon mal über eine längere zeit regelmäßig seine mails abrufen, ein zeitlich begrenzter internetzugang ist da ungünstig...

ich weiss dass es chefs gibt die solchen unfug machen oder machen wollen. nur für sinnvoll halte ich es eben nicht. ich gehe davon aus dass du damit die mitarbeiter davon abhalten willst ihren privatkram in der firma zu machen. dazu brauchst du solchen quatsch aber gar nicht: du kannst ihnen untersagen privat im internet zu surfen, oder es nur in begrenztem umfang erlauben (maximal 10 minuten am tag, oder nur nach feierabend). ein verstoß gegen eine solche regelung wäre ein abmahnungs- und im wiederholungsfall kündigungsgrund. das installieren von spielen oder anderer software ohne ausdrückliche genehmigung kann als beschädigung von firmeneigentum gewertet werden, auch das ist ein abmahnungs- bzw. kündigungsgrund.

auch wenn es um schüler geht halte ich die änderungen (mit ausnahme des verbots von softwareinstallationen) nicht für sinnvoll. gerade im informatikunterricht haben schüler nämlich sehr unterschiedliche vorkenntnisse. aufgaben, für die manche klassenkameraden die ganze unterrichtsstunde gebraucht haben, hatte ich zum teil nach fünf minuten fertig bearbeitet. sollen gute schüler sich dann den rest der stunde langweilen?

Ich würd mir Ubuntu per torrent saugen und ein stark eingeschränktes Konto anlegen.

Punkt 1 sollte kein Problem sein da du ja alle Spiele die für Ubuntu in den Paketquellen verfügbar sind deinstallieren kannst.

Punkt 2 wird -denke ich- etwas knifflig.

Punkt 3 lässt sich wohl mit einem kleinen Script auch relativ einfach in die Tat umsetzen.

Am besten mal bei den freundlichen Ubuntuusern vorbeischauen und einlesen. Hier der Link zu den Profis und dem Download:

http://ubuntuusers.de/

Schon allein Punkt 2 ist fast unmöglich.