|
|
|
Besonders in der Schule wird es für die Klärung von Vorfällen ein aussagekräftiges Logfile gewünscht. Das bedeutet in den meisten Fällen, dass der Wunsch nach dem Loginname im Logfile besteht. Im Ausschnitt aus dem Logfile wird durch meinen Rechner ein Loginname geliefert, der dann auch im Logfile erscheint.
192.168.0.83 hkirmse - [02/Feb/2004:10:30:59 +0100] "GET http://www.heise.de/ ... 192.168.0.83 hkirmse - [02/Feb/2004:10:30:59 +0100] "GET http://www.heise.de/icons/ho/heise.gif ... 192.168.0.110 - - [02/Feb/2004:10:31:00 +0100] "GET http://www.party.de/pic/hinterbottom1.gif ... 192.168.0.112 - - [02/Feb/2004:10:31:00 +0100] "GET http://www.party.de/pic/hinterbottom1.gif ... 192.168.0.83 hkirmse - [02/Feb/2004:10:31:01 +0100] "GET http://www.heise.de/ivw-bin/ivw/CP/ ... 192.168.0.109 - - [02/Feb/2004:10:31:01 +0100] "GET http://usuarios.lycos.es/max3d/spanish.gif ... 192.168.0.109 - - [02/Feb/2004:10:31:01 +0100] "GET http://usuarios.lycos.es/max3d/books.gif ... 192.168.0.112 - - [02/Feb/2004:10:31:01 +0100] "POST http://chat.party.de/cgi-bin/chat.pl ... 192.168.0.83 hkirmse - [02/Feb/2004:10:31:02 +0100] "GET http://heise.ivwbox.de/cgi-bin/ivw/CP/homepage;/default.shtml? ... 192.168.0.83 - - [02/Feb/2004:10:31:02 +0100] "GET http://www.heise.de/icons/ho/rechts.gif ... 192.168.0.112 - - [02/Feb/2004:10:31:02 +0100] "POST http://chat.party.de/cgi-bin/chat.pl ...
Um dieses zu erreichen muß der Client nicht nur seine IP-Adresse angeben, sondern auch den Loginnamen des Nutzers. Das bedeutet, dass auf dem Arbeitsplatz (Windows-Client) ein Programm läuft, welches jeden "anfragenden" Programm wie z.B. Apache oder Squid dieses Login übermittelt. Apache bzw. Squid sind in diesem Fall die Programme, die diesen Dienst in Anspruch nehmen, also die Clients. Das Programm auf dem Arbeitsplatz-PC ist demzufolge der (ident-)Server, welcher den Dienst anbietet. Ein Server wird auch als Dämon bezeichnet, und deswegen heißt das Programm identd, wobei das letzte "d" von Dämon kommt.
Unter http://home.arcor.de/armin.diehl/ kann man einen identd holen, der gleichermaßen für Win9X ebenso wie für WinNT/Win2000 geeignet ist. Damit dieser nicht gelöscht bzw. manipuliert werden kann, sollte er schreibgeschützt auf dem Laufwerk p abgelegt und beim Hochfahren des Rechners gleich nach dem Anmelden des Users gestartet werden.
Abbildung 11.8-1: Startbild des beschriebenen Ident-Servers
Es bietet sich ein Eintrag in der Datei /etc/samba/scripts/logon.bat an, die dann folgendermaßen aussieht:
net use u: \\arktur\homes /yes
net use p: \\arktur\pub /yes
net use t: \\arktur\tmp /yes
net time \\arktur /set /yes
p:\identd.exe
Wenn User Seiten aufrufen, die nach Nutzerordnung nicht erlaubt sind, sind diese natürlich nicht an der Übermittlung des Loginnamens interessiert. Das bedeutet normalerweise, sie sind daran interessiert, die Ausführung dieses Programms zur verhindern bzw. zu stören. Deshalb sollte der Admin wirksame Vorkehrungen treffen, dieses Programm abzusichern.
Für Windows98 könnten die letzten beiden Punkte "iii" und "iv" z.B. durch folgende reg-Datei realisiert werden (Anmeldezwang, Ausblenden der Systemsteuerung und des Taskmanagers, Sperren von "regedit" & Co.).
Achtung: hier sollte man wissen was man tut!
REGEDIT4 [HKEY_LOCAL_MACHINE\Network\Logon] "MustBeValidated"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSetFolders"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001
Will man verhindern, dass Schüler ohne gültige Anmeldung über das Schulnetz surfen können, kann das mit den ACLs für Squid realisiert werden. Dazu ergänzen Sie in den Dateien /etc/squid/squid.conf.in und /etc/squid/squid.conf folgende Zeilen:
Vor der mit "acl manager" beginnenden Zeile:
acl darfnicht ident "/home/www/admin2/darfnicht"Nach den mit "http_access deny" beginnenden Zeilen:
http_access deny darfnichtAlle Benutzer, die in der Sperrdatei "/home/www/admin2/darfnicht" aufgeführt sind, erhalten nun über den Proxy keinen Zugriff mehr auf das WWW. Trägt man in einer (extra) Zeile ein Minuszeichen ("-") ein und startet Squid mit "/sbin/init.d/squid stop" und "/sbin/init.d/squid start" neu, können keine anonymen Benutzer mehr surfen.
|
|
|