Robuste öffentliche Surfstation

So richten Sie ein Gerät weitgehend wartungsfrei als öffentliche Surfstation ein

13.12.2016 von Hermann Apfelböck
Es ist ein häufiges Anliegen, an öffentlichen Orten wie Gaststätten, Firmenfoyers, Museen, Messen, Schulen ein Webterminal bereitzustellen. Die Surfstation soll interne Infos oder offenes Surfen anbieten – und zwar möglichst wartungsfrei.
Achten Sie bei der Einrichtung einer öffentlichen Surfstation darauf, das lokale Netzwerk vom Nutzer fernzuhalten und ihm ausschließlich den Browser anzubieten.
Foto: GUNDAM_Ai - shutterstock.com

In diesem Artikel geht es nicht um Datenschutz und „anonymes“ Surfen. Denn die Zielsetzung einer öffentlichen Surfstation ist vielmehr, das Betriebssystem, angeschlossene Datenträger und das lokale Netzwerk vom Nutzer fernzuhalten und ihm ausschließlich den Browser anzubieten.

Im Idealfall sollte eine robuste Surfstation auch destruktiv gesinnte Nutzer aushalten und wartungsfrei laufen. Je nach Anspruch kommen unterschiedliche Lösungen in Betracht:

Kioskmodus für den Firefox

Jedes Linux kann als Browsergefängnis dienen. Noch wichtiger als der Kioskmodus für den Browser (siehe unten) ist das Verbot aller Systemhotkeys, die absichtlich oder zufällig einen Zugriff auf das System gewähren. Daher sollten sämtliche Vorgaben konsequent abgeschaltet werden.

Unter den meisten Desktopsystemen geht das recht bequem unter „Systemeinstellungen -> Tastatur -> Tastaturkürzel“, indem Sie Einträge markieren und mit der Rücktaste die Hotkeys jeweils auf „Deaktiviert“ setzen. Es ist zwar nicht auf jedem Linux-Desktop möglich, die Super-(Windows-)Taste abzuschalten, die dann meist zum Hauptmenü führt. Aber es ist andererseits sehr einfach, das Menü komplett aus dem System zu nehmen, das in der Regel als Leistenapplet integriert ist. Damit wird der Hotkey funktionslos.

Die Hotkeys Alt-Tab und Umschalt-Alt-Tab sind je nach Desktop ebenfalls nicht unter den Tastenkombinationen aufgeführt, sollten aber ebenfalls ausgeschaltet werden. Das erledigen Sie am elegantesten, indem Sie ihnen eine Dummyaktion zuweisen – etwa unter „Ton und Medien“ die Aktionen „Vorheriger Titel“ und „Nächster Titel“. Damit wird die normale Funktion dieser Hotkeys durch die selbst definierten Aktionen überdeckt und funktionslos.

Der Zugang zu den virtuellen Konsolen mit Strg-Alt-F1 (bis F6) ist kein Sicherheitsproblem, weil dort eine Anmeldung als authentifizierter Benutzer erforderlich ist. Apropos Benutzer: Für einen reibungslosen Betrieb ist es von Vorteil, wenn die Systemanmeldung ohne Kennwortabfrage erfolgt (das ist unter „Benutzer“ oder „User“ einstellbar). Noch wichtiger ist, dass nach längerer Inaktivität keine Anmeldung nötig wird. Das können Sie unter „Energieverwaltung“ oder „Screensaver“ regeln.

Nach diesen Maßnahmen kann der Firefox zu einem Vollbildkäfig ausgebaut werden. Die einschlägige Erweiterung Mkiosk finden Sie über den Menüpunkt „Add-ons“, indem Sie nach „kiosk“ suchen (das ältere Rkiosk und der Nachfolger kiosk-costaisa sind nicht mehr zu empfehlen). Das Add-on benötigt eine Ersteinrichtung. Ganz wichtig ist auf der Registerkarte „Sicherheit“ die Option „Passwort benutzen“. Damit kommen Sie mit Taste F1 jederzeit an die Kiosk-Konfiguration, welche durch Passwort vor anderen Nutzern geschützt ist. Weitere wichtige Vorgaben sind unter „Grundeinstellungen“ die Startseite, unter „Aussehen1“ die Anzeige von Adresszeile und Navigationstasten, unter „Aussehen2“ die Lesezeichenleiste.

Admins, die sich selbst versehentlich aussperren, können immer noch in einer virtuellen Konsole (Strg-Alt-F1) den Browser mitpkill firefox gewaltsam beenden und ihn auf der grafischen Oberfläche mit

firefox -safe-mode

ohne Add-ons neu starten. Im Menü „Add-ons“ kann Mkiosk dann deaktiviert oder ganz gelöscht werden.

Installation von Porteus 4.0: Das spätere Porteus-System liefert dann Firefox oder Chrome pur.

Porteus in der Kioskvariante

Noch robuster und schneller als ein selbst konfigurierter Firefox-Kiosk ist das kleine Surfsystem Porteus (www.porteus.org) in der Kioskvariante. Eine Intel-Atom-CPU und 512 MB RAM sollten ausreichen und als Datenträger genügt im Prinzip schon ein kleiner USB-Stick, da das System nur etwa 200 MB belegt.

Das 58 MB kleine ISO-Image für den Kioskmodus (http://porteus-kiosk.org/download.html) ist ein Installationsimage, das Sie mit dd unter Linux oder dem Win 32 Disk Imager unter Windows auf USB schreiben, dann starten und damit dann das eigentliche System einrichten.

Beachten Sie, dass das aktuelle Porteus 4.0 nur noch 64 Bit unterstützt und für 32-Bit-Rechner das ältere 3.7.0 gewählt werden muss.

Bei der Einrichtung mit dem Assistenten „Kiosk Wizard“ gilt es, die Netzverbindung zu wählen (Kabel, WLAN), den gewünschten Browser (Firefox oder Chrome) und die Systemsprache und ferner viele englischsprachige Fragen zu beantworten. Bei den meisten Fragen genügt ein Klick an der richtigen Stelle, trotzdem sind Englischkenntnisse für eine optimale Konfiguration unerlässlich. Die Einstellungen können das System noch weiter restriktiv abhärten oder öffnen. Zum Beispiel geht es auch um die Frage, ob nach Strg-Alt-Entf ein Shut-down-Dialog angezeigt werden soll. Wichtig sind auch die Optionen, eine Startseite festzulegen, oder das Angebot von Standardlesezeichen. Bei Inaktivität kann der Browser nach einem einstellbaren Zeitraum auf die Standardseite zurückgesetzt werden.

Porteus kann permanent mit Updates versorgt werden, verlangt dafür aber circa drei Euro pro Monat. Wer nicht bezahlen will, muss im Kiosk Wizard die Updates abschalten („Disable…fixes and update service“).

Das fertige Porteus startet ausschließlich Firefox oder Chrome im Vollbild. Es gibt keinerlei Zugriff auf das System, der Browser speichert keine Infos wie Verlauf oder Kennwörter. Beendet wird das System durch Abschalten des Geräts oder durch den (erlaubten) Shut-down-Dialog.

Fullpage-OS für Raspberry

Platinen wie der Raspberry Pi sind besonders kostengünstige Surfstationen. Natürlich lässt sich auch ein Raspbian für einen Kiosk-Firefox konfigurieren. Aber es gibt inzwischen das spezialisierte Fullpage-OS für den Raspberry, das alles Wesentliche bereits mitbringt.

Das heruntergeladene Image (http://docstech.net/FullPageOS/) muss wie üblich mit dd unter Linux oder mit dem Win 32 Disk Imager unter Windows auf SD-Karte kopiert werden. Das auf Raspberry gestartete System erreichen Sie dann per SSH-Konsole (Benutzer „pi“, Kennwort „raspberry“), um einige Grundeinstellungen einzutragen: Die Netzwerkeinstellungen sind in die Datei „/boot/fullpageos-network.txt“ und die gewünschte Startseite des Kiosksystems unter „/boot/fullpageos.txt“ einzutragen.

Die Einstellungen sind ab dem nächsten Neustart gültig. (PC-Welt)