Hi,
ich bin gerade dabei, mir Gedanken zu machen über einen Einsatz von Linux als Application Server (-> Clients als X-Terminals, Login über KDM) bei uns in der Schule (Gymnasium Dresden-Blasewitz / MANOS); sprich, die Lösung von Reiner Klaproth an der Mittelschule Johannstadt-Nord. Dabei hab ich aber noch ein Problem: Bei uns gibts so ne netten Schüler, die - freundlich ausgedrückt - dem Systemadministrator (mir) auf verschiedene Weisen die Sicherheitslöcher des Systems vorführen.
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt... << Was kann man dagegen tun? Daemon schreiben, der Prozesse, die mehr als 5 mal pro User auftauchen (außer StarOffice und Netscape) gnadenlos killt? Steht in den Kernel-Mailinglisten was? Gibts einen der vielbeschworenen Patches?
cu Konrad Stopsack konrad@stopsack.de
PS: Das ist noch das einzige Problem, das ich noch sehe; die anderen wird schon mein Info-Lehrer und mein Direktor beisteuern...
Am Dienstag, dem 28. November 2000 um 16:13:44, schrieb Konrad Stopsack:
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt...
Aehm, ich wuerde dasselbe machen, wie mit Schuelern, die die Gardinen anzuenden, Lehrmittel mutwillig zerstoeren usw. Genausowenig, wie die Schueler kein Wasser in die Tastatur schuetten oder Monitore eintreten duerfen, haben sie auch keine Software einzusetzen, die die Rechner unbenutzbar machen. Basta.
Was kann man dagegen tun? Daemon schreiben, der Prozesse, die mehr als 5 mal pro User auftauchen (außer StarOffice und Netscape) gnadenlos killt?
Ich denke das groessere Problem sind fehlerhafte Programme, ulimit kann hier Linderung bringen.
Torsten
Hallo!
Torsten Werner wrote:
Am Dienstag, dem 28. November 2000 um 16:13:44, schrieb Konrad Stopsack:
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt...
Aehm, ich wuerde dasselbe machen, wie mit Schuelern, die die Gardinen anzuenden, Lehrmittel mutwillig zerstoeren usw. Genausowenig, wie die Schueler kein Wasser in die Tastatur schuetten oder Monitore eintreten duerfen, haben sie auch keine Software einzusetzen, die die Rechner unbenutzbar machen. Basta.
Richtig. Außerdem machen sie neben den anderen auch den eigenen Rechner unbrauchbar. Eine - wenn auch wenig elegante - Möglichkeit: Trage statt einer Shell einfach /bin/true ein. Dann haben sie keine Konsole und können Programme ohne X-Unterstützung nicht laufen lassen. Das kann aber schon beim alten KDE zu Problemen mit passwd führen.
Die anderen Möglichkeit hat Torsten aufgezeigt: ulimit kann einiges leisten.
Was kann man dagegen tun? Daemon schreiben, der Prozesse, die mehr als 5 mal pro User auftauchen (außer StarOffice und Netscape) gnadenlos killt?
Ich denke das groessere Problem sind fehlerhafte Programme,
allen voran Netscape !!! Das bleibt garantiert im Verlaufe eines Tages mehrfach so hängen, dass es nicht mehr läuft, der Schüler sich abmeldet und dieser Prozess bis 90% der Rechenleistung zieht. Deshalb habe ich ein Script geschrieben, das per cron von root alle 15 Minuten aufgerufen wird und das - alle Prozesse killt, die außer von "erlaubten Nutzern" (root, bin, mysql,...) nicht einem Nutzer gehören, der sich angemeldet hat (der also kwm|bash|kwin laufen hat) - User-Prozesse killt, deren "Laufzeit" größer als 10 Minuten ist.
Dieses Scripte killt pro Tag ca. 10 hängengebliebene Prozesse, hat bislang noch keine "Unterrichtssoftware" gekillt, sondern wirklich nur "hängenge- bleibene Prozesse". Das führt (besonders im zweiten Kabinett) dazu, das spätestens nach 15 Minuten der Server von sich aus "auf die Füße fällt".
Was mir noch einfällt: Warum immer gleich so schwarzsehen? Man kann Windows doch nach demselben Strickmuster lahmlegen - bei Linux sehe ich wenigstens, WER es war. Der kann seinen Zugang für x Wochen vergessen.
Gruss Reiner
On Tue, Nov 28, 2000 at 04:13:44PM +0100, Konrad Stopsack wrote:
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt... <<
Wenn du das als Admin allein technisch angehen willst wirst du füher oder später den kürzeren ziehen. Lass die Schüler eine Benutzerordnung unterschreiben, bevor sie an die Rechner dürfen. Dort werden solche Sachen unter Androhung von XYZ untersagt und gut ist.
Reinhard
On Tuesday 28 November 2000 16:35, Reinhard Foerster wrote:
On Tue, Nov 28, 2000 at 04:13:44PM +0100, Konrad Stopsack wrote:
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt... <<
Wenn du das als Admin allein technisch angehen willst wirst du füher oder später den kürzeren ziehen. Lass die Schüler eine Benutzerordnung unterschreiben, bevor sie an die Rechner dürfen. Dort werden solche Sachen unter Androhung von XYZ untersagt und gut ist.
Würde ich genauso machen. Damit man vernünftig mit dem System arbeiten kann muss es relativ weit offen sein. Wer das ausnutzt wird gesperrt. Ganz nach dem Motto: "Du bist /root, Du darfst das". Wer Bücher aus der Bibo zerstört muss sie ersetzen, wer Computer missbraucht wird des Informatik-Kabinetts verwiesen, usw....
Das funktioniert auf Sourceforge mit tausenden von Nutzern, also sollte es auch in einer Schule gehen.
Konrad
PS.: Reinhard, die Daten reichen zwar noch nicht für eine statistisch relevante Aussage, aber es zeichnet sich ab, dass wir etwa aller 1-2 Monate gleicher Meinung sind... ;-) PPS.: ausserdem nocheinmal gleicher Meinung aber mit unterschiedlichen Worten und sehr strittigen Details. ;,-D
On Tue, Nov 28, 2000 at 04:13:44PM +0100, Konrad Stopsack wrote:
Hi,
ich bin gerade dabei, mir Gedanken zu machen über einen Einsatz von Linux als Application Server (-> Clients als X-Terminals, Login über KDM) bei uns in der Schule (Gymnasium Dresden-Blasewitz / MANOS); sprich, die Lösung von Reiner Klaproth an der Mittelschule Johannstadt-Nord. Dabei hab ich aber noch ein Problem: Bei uns gibts so ne netten Schüler, die - freundlich ausgedrückt - dem Systemadministrator (mir) auf verschiedene Weisen die Sicherheitslöcher des Systems vorführen.
WENN NUN EINER DER SCHÜLER EIN PROGRAMM SCHREIBT, DAS SICH IMMER WIEDER SELBST AUFRUFT, also den SERVER zwar nicht zum ABSTURZ, aber zur Unbenutzbarkeit bringt...
Sollte eigentlich nicht all zu schlimm sein. Wenn jeder Schueler ein eigenes Login hat, sollte sich herausfinden lassen wer die ganzen Systemresourcen verbraucht. Mit ulimit (man ulimit) lassen sich aber die fuer jeden Nutzer verfuegbaren Systemresourcen einschraenken.
Bin mir bloss nicht sicher wo man das am besten unterbringt, damit es fuer alle Logins gilt (ssh, wie xdm bzw kdm)
lug-dd@mailman.schlittermann.de
-
Konrad Rosenbaum -
Konrad Stopsack -
Reiner Klaproth -
Reinhard Foerster -
Thomas Guettler -
Torsten Werner