Kindersicherung mit Linux?

  • Hallo,

    mein Sohn soll zum 8ten Geburtstag seinen ersten Rechner bekommen. Gern kann da auch ein Linux drauf sein, jedoch möchte ich eine Kindersicherung, die folgendes kann:

    * zeitliche Begrenzung der Nutzung

    * Option ein bestimmtes Programm länger zu nutzen

    * nichts installieren (wahrscheinlich einfach nicht in die Sudo gruppe lassen)

    * Internetverkehr möglichst einschränken


    Ich weiß Vertrauen ist gut, aber ich will ihn da langsam ranbringen. Aktuell hat er ein Google Tablet mit Familiy Link --> genau sowas suche ich für den PC.


    Habt ihr da Tips, Anregungen etc?

    Wie schwer ist es das zu umgehen, sofern das BIOS gesperrt ist und USB Boot auch?

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

    Einmal editiert, zuletzt von tavoc (11. Juli 2023 um 13:35)

  • Bin mal gespannt was für Vorschläge kommen.

    Für Windows hätte ich jetzt Family Safety gesagt, ist wie Family Link, nur halt von Microsoft.

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

  • Das installieren weiterer Software würde ich an deiner stelle mit einem eingeschränkten Benutzerkonto verhindern.

    Was die Zeitenkotrolle angeht weiss ich nicht wie gut Linux da aufgestellt ist. Gab mal Gnome Nanny, aber ob das noch weiter entwickelt wird, keinen Ahnung.

    Ansonsten integriert Elementary OS scheinbar solch eine Funktion direkt.

    Was das surfen im Web würde ich nen filternden DNS Server einstellen.

    Wie schwer das alles zu umgehen ist, ich glaube darüber musste dir erst in ein paar Jahren gedanken machen.

  • Die Frage ist auch, was soll der Rechner können, was das Tablet nicht kann? Nur um ein Gefühl für "richtige" PCs zu bekommen? Nicht bei einem Kind mit 8 Jahren. Es gibt auch leistungsfähige Tablets, an denen man eine Tastatur andocken kann. Eventuell eine Alternative und immer noch Android.

    Wenn es um Spiele geht, sieht das vielleicht anders aus. Und sorry für den Einwurf.

    AZi (DEV): Nexus auf LibreElec | Asrock J4205 | 4 GB RAM | 128 GB Sandisk| Rii mini
    DEV: PC Ubuntu 20.04 | Matrix
    AZi: Tanix TX3 | Android/CoreElec Dualboot (EMMC), Nexus
    WoZi: Nexus auf LibreElec | Asrock J4205 | 4GB RAM | 128 GB Sandisk SSD | Atric IR | URC7960

    NAS: unRaid, 3x6TB, 2x12TB | TV-Server: Futro S550 mit Hauppauge QuadHD DVB-C
    PayPal: paypal.me/pvdbj1

  • * zeitliche Begrenzung der Nutzung

    * Option ein bestimmtes Programm länger zu nutzen

    * nichts installieren (wahrscheinlich einfach nicht in die Sudo gruppe lassen)

    * Internetverkehr möglichst einschränken

    1 und 4 ggf. mit einer Fritzbox einschränken

    3 ist eigentlich buildin bei Linux oder ggf. per Fritzbox

  • ich kenne da leider nichts brauchbares was programme o.ä einschränken könnte, aber immerhin kann eine fritzbox sehr praktisch den internetzugriff einschränken für ausgewählte geräte / profile und wenn der kleine die spülmaschine ausräumt kann er sich einen 1h extra internet pass abholen :)

  • 1 und 4 ggf. mit einer Fritzbox einschränken

    3 ist eigentlich buildin bei Linux oder ggf. per Fritzbox

    Mit der Fritzbox schränkst du nur die Nutzung des Internets ein. tavoc meint wohl eher das man z.B. Spiele sperren kann nach einer bestimmten Zeit.

    Die Frage ist auch, was soll der Rechner können, was das Tablet nicht kann? Nur um ein Gefühl für "richtige" PCs zu bekommen? Nicht bei einem Kind mit 8 Jahren. Es gibt auch leistungsfähige Tablets, an denen man eine Tastatur andocken kann. Eventuell eine Alternative und immer noch Android.

    Wenn es um Spiele geht, sieht das vielleicht anders aus. Und sorry für den Einwurf.

    Im Raus mit der Kohle Thread hat er den Rechner gezeigt den der kleine bekommt. Geht hier ums zocken.

  • grob:

    man könnte auch einen shutdown (mit Zeitangabe) bei login eines bestimmten users triggern

    oder ein systemd script beim Rechnerstart, welches nach bestimmter Zeit die Kiste runterfährt
    eine Zeitbeschränkung f. lokale Spiele: ein script was über Zeit loopt und wenn die Zeit durch ist: pidof Spiel, kill Spiel, ...

    oder ich schränke die WLAN-OnlineZeit eines Rechners per Fritzbox ein und wenn die Internetverbindung nicht mehr da ist, fahre ich die Kiste runter oder logge den User aus via systemd script

    ...

  • Hier sind ein paar Tools für Linux, die sich gar nicht so schlecht lesen

    Top 10 Best Parental Control Software for Linux System
    To keep your kids safe from the dark side of technology you can use one of these parental control software or web filtering tool on Linux.
    www.ubuntupit.com

    Gnome Nanny liest sich vielversprechend. Kann die Nutzungsdauer einschränken (Desktop Time) und auch Webseiten filtern. Selbst eine "Blacklist" von Webseiten kann von einem anderen System importiert werden.

    Da sind auch noch andere Tools. Notfalls bietet auch eine Kombination aus den Tools das Beste.

    Die Installation von Programmen würde ich über die Gruppenberechtigung in Linux selbst regeln. Die Fritzbox bietet da auch großartige Dinge.

    Wenn man es ganz hart machen möchte und Pornografie vom Sohn fernhalten möchte, dann kann man auch entsprechende DNS Server für den PC einrichten, die "Adult"-Seiten einfach nicht auflösen.

    Und wenn er irgendwann weiß, wie er es umgehen kann, dann hat er es sich verdient ;) (Spaß ;))

    Auf jeden Fall gibt es Tools dafür. Und ich habe jetzt genau 2 Minuten lang gesucht ;)

    Einmal editiert, zuletzt von DaVu (11. Juli 2023 um 21:39)

  • Ich wuerde ja beim Internet zuerst eine positiv-Liste empfehlen. Bleibt ja am Ende nicht aus, das man in dem Alter eh eine Ahnung haben sollte, wo die Kids sich rumtreiben (auf dem Internet). Und sowas wie (google) search ist IMHO auch die schlimmste Anleitung zum unstrukturierten Denken. Youtube ebenso. Das kann man gerne auch spaeter dazukriegen.

    Aber das halt nur von jemandem, der als Kind halt (zu frueh geboren) ohne das Internet aufgewachsen ist. Wuesste immer noch nicht, was ich da verpasst haben sollte. Ich weiss sogar noch wie Buechereien von innen aussehen.

    Opi muss jetzt ins Bett.

  • Eine "Whitelist" ist da auch eine sehr gute Idee. Diese kann man entsprechend erweitern, wenn der Zugang angefragt wird ("Papa....darf ich...."). Ist halt ein wenig aufwändiger, sichert aber vor dem Fall, dass man beim "Blacklisting" was vergessen hat.

  • Danke für die Vorschläge. Ich schau mir die alle an.

    Die Frage ist auch, was soll der Rechner können, was das Tablet nicht kann? Nur um ein Gefühl für "richtige" PCs zu bekommen? Nicht bei einem Kind mit 8 Jahren. Es gibt auch leistungsfähige Tablets, an denen man eine Tastatur andocken kann. Eventuell eine Alternative und immer noch Android.

    Wenn es um Spiele geht, sieht das vielleicht anders aus. Und sorry für den Einwurf.

    Auf Android gibt es nur free2play spiele mit zig Werbung und mein Sohn sitzt wie ein Krüppel vor dem Tablet. Ziel ist es an dem Schreibtisch vernünftig zu sitzen und auch einen vernünftig großen Bildschirm (22-24") zu arbeiten (Anton App, Hausaufgaben) und zu spielen.

    Android ist für den normalen Konsum wie Netflix etc OK, aber doch sehr eingeschränkt. Er spielt zur Zeit schon länger Minecraft und möchte da auch einige Mods nutzen, und das geht am PC besser. Auch alte Spiele wie Need for Speed mit Lenkrad sind dort besser umgesetzt


    grob:

    man könnte auch einen shutdown (mit Zeitangabe) bei login eines bestimmten users triggern

    oder ein systemd script beim Rechnerstart, welches nach bestimmter Zeit die Kiste runterfährt
    eine Zeitbeschränkung f. lokale Spiele: ein script was über Zeit loopt und wenn die Zeit durch ist: pidof Spiel, kill Spiel, ...

    oder ich schränke die WLAN-OnlineZeit eines Rechners per Fritzbox ein und wenn die Internetverbindung nicht mehr da ist, fahre ich die Kiste runter oder logge den User aus via systemd script

    ...

    Das Logonscript könnte ich doch dann einfach nach Neustart wieder austricksen? Im Kinderzimmer ist der Hauptswitch für das gesamte Haus, dementsprechend hat er theoretisch Zugriff auf alle VLANs und Netzwerkverbindungen. Ohne WLAN/LAN könnte er den PC immer noch verwenden.

    Mein Ziel ist wirklich zeitlich das ganze zu beschränken aber auch vom Inhalt her.

    Danke @DaVu - ich hatte gehofft jemand hat das ganze schon getestet und Erfahrungen damit.

    Die Links beziehen sich meist auf ein Sammelsurium aus einzelnen Tools und Maßnahmen (z.b. Pihole, Skripte, eingeschränkte Nutzer) - ich hätte mir hier eine gute Oberfläche lokal am Rechner vorgestellt (wie Family Link bei Google).

    Selbst da hat er es geschafft trotzdem einige Dinge zu nutzen aus dem Sperrbildschirm, die ich sehr umständlich wieder einschränken musste (Sprachsuche geht immer).


    Grundsätzlich klingt die Whitelist ganz gut (die könnte ich wohl mit dem Pihole + die Blacklist von der Fritzbox) umsetzen. Zusammen mit einem eingeschränkten Nutzer sollten Änderungen am PC nicht möglich sein.

    Wie ist das dann bei Updates bei z.b. Ubuntu/Debian etc. -->brauch ich da das root Passwort (ich will nicht jede Woche an den PC um ihn aktuell zu halten).


    Zusatzfrage: Wie würde man verhindern, dass bestimmte installierte Programme nicht geöffnet werden können? Leserechte des Nutzers auf die Verzeichnisse entfernen? Oder gibt es da auch ein Tool für, welche alle installierten Programme zeigt und man das freischalten kann? Z.b. Terminal, Netzwerkverwaltung etc. braucht er am Anfang nicht.

    die 2-3 Spiele, Libreoffice sollte reichen. Internet / Youtube wird es am Anfang auch nicht geben.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

    Einmal editiert, zuletzt von tavoc (12. Juli 2023 um 08:38)

  • Ich habe aktuell in der Fritzbox ein Profil angelegt, wo surfen generell verboten ist (whitelist aktiv und leer).

    Im Pihole kann ich dann sehen worauf zugegriffen werden möchte --> evtl. für Updates.


    Als Programme für Ubuntu habe ich jetzt folgendes gefunden, was gar nicht so schlecht aussieht:

    Add parental controls (ubuntu.com) für die Verwaltung von Webseiten, Programmen und Appstore Limitierung

    und für die Zeit: How to Set Time Limits for Your Kids in Ubuntu 20.04 / 21.10 & Debian 11 | UbuntuHandbook


    Jetzt muss ich mal schauen ob ich direkt Ubuntu nehme (habe hier meist für mich alles Ubuntu (Server)), oder ob man für Spiele was anderes nehmen sollte.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • Wegen Internet: Wenn Du das filtering ueber den Firewall machst, dann solltest Du aber auf jeden Fall gucken, das Die OS update Mirror zugaenglich sind. Das kann nervig sein wenn man den update-mirror nicht fixieren will.

    Im Prinzip ist so ein Unix/Linux fuer lokale Benutzerrechte sehr flexibel, aber "Netzwerkrechte" ist da noch mal ein anderes Ding. Ideal waere ja, wenn der nicht privilegierte Benutzer eine andere IP-adresse verwenden wuerde, als der admin. Wuesste aber auch keine simple Moeglichkeit wie man das machen kann. Interessantes Problem ;) Klar, man koennte da alles fuer das kid in einem container laufen lassen, aber da hat man dann ja ebenso das Problem, wenn man innerhalb des containers updates machen will - oder programme installieren. Also eigentlich waeren da lokale benutzerspezifische Netzwerkfilter besser und evtl. einfacher, als das extern mit firewall zu machen. Aber natuerlich ist firewall bequemer, und man kann das einheitlich fuer tablets, PCs, etc. machen.

    Wegen Programmzugriffen, etc.: Wir hatten in der Uni uns immer eine Gruppe "staff" eingerichtet, wo admins/mitarbeiter drin waren, und die studenten waren da halt nicht drin. Und dann alle Programme die fuer Studenten nicht zugreifbar sein sollten halt chgrp auf staff und welt-zugriffsrechte entfernen (chmod o-rwx ...). Das sollte auch gut als Rezept fuer kids funktionieren. Besser als eine vorhandene gruppe zu verwenden (root, wheel,...) weil man dann leichter spaeter immer mit find alles finden kann wo man mit zugriffsrechten rumgepfuscht hat.

  • Das Logonscript könnte ich doch dann einfach nach Neustart wieder austricksen?

    meine Ratschläge waren nur grobe brainstormings ( und auch das Folgende ist grob)

    logon script [1] ist immer beim logon aktiv, also auch wenn die kiste rebooted wird

    aber man müsste dann aber auch gewährleisten, dass

    a) die Kiste sich nur immer mit einen dediziertem Profil einloggt (also ohne Passwort Eingabe im grafischem IF) [2]

    und

    nach login

    b) userswitch und logout nicht aufrufbar sind (ebend nur Poweroff, Reboot)

    [1]

    wobei ich zugegebenermassen noch nicht genau weiss, wie man das genau realisiert !

    Frage z.b. ist .bashrc, .bash_profile, etc. auch beim grafischen logon aktiv oder nur beim Aufruf eines Terminals ?

    [2]

    hierbei scheint mir ein möglicher Knieschuss vergraben zu sein; denn: wie adminstriere ich die Kiste, wenn immer in den beschränkten User gebootet wird

    Lösung: ggf. mit ssh Zugriff (den ich vorher scharf schalten muss / getestet haben sollte) wo ich dann das beschränkende script inaktiv machen kann ...

    desweiteren ist mir nicht klar, ob ich den auto logon nicht doch mit einer Tastenkombination (z.B. vorm logon gedrückte shifttaste) aushebeln kann.

    P.S.

    1)

    zu deinen Ubuntu parentcontroll hast du gelesen, dass nur flatpak apps einschränkbar sind ?

    Zitate:

    "Parental Controls requires applications to be installed via Flatpak or Flathub."

    und

    "Existing applications (which are not installed via Flatpak) will not appear in this list."

    Preisfrage also: liegen die Apps, Spiele als flatpak vor ?

    2)

    für Gnome Desktop:
    man soll auch per dconf (AFAIK: eine Art registry (windows)) Kisten beschränken können

    config Datei ist user spezifisch und wird beim graph. login ausgewertet; liegt unter ~/.config/dconf

    z.B.: user logout/switch Restriktion

    Disable user logout and user switching

    3)

    vlt. (ich habe keine Erfahrungen damit; auch habe ich den Artikel inkl. weiterführende links nicht gelesen), aber es scheint deinem Anliegen auch näher zu kommen:

    Build a kiosk with Fedora Silverblue - Fedora Magazine
    Find out how to configure Fedora Silverblue as a kiosk and learn why it is ideally suited to that role.
    fedoramagazine.org
  • tavoc hast du dir "Gnome Nanny" überhaupt mal angesehen? Das ist ein GUI Tool welches genau deine Anforderungen abdeckt.

    Ich meine...ich frag ja nur. Wenn du dir Tools nicht ansehen und testen möchtest, dann kann ich mir die Arbeit sparen Vorschläge zu machen. An irgendeinem Punkt wirst du anfangen müssen die Dinge, die dir die Leute hier vorschlagen auszuprobieren. Ansonsten scheitert das Projekt.

    Was du hier verhindern möchtest ist eine "Privilege Escalation" und du möchtest zusätzlich das Ansurfen von gewissen Webseiten verhindern. Dann noch das installieren von Programmen verhindern (aus sudoers raus nehmen) und ggf die Desktop-Zeit einschränken. Letzteres macht GNome Nanny wohl sehr gewissenhaft wie sich das liest.

    Warum nicht einfach mal anfangen und probieren?

    Und ja....Du wirst die Kiste administrieren müssen. Dafür wirst du einen separaten User benötigen. Dafür vergibst du ein passendes Passwort. So kompliziert kann das ja nicht sein.

    Den Account des Sohnes kann man über Gruppenberechtigungen unter Linux bis zu geht nicht mehr einschränken.

    Wenn der Sohn aber schon so clever ist, das er das alles aushebeln kann....dann würde ich ihm freien Lauf lassen. Keine Ahnung wie alt der junge Mann ist....Das könnte für ihn aber beruflich mal sehr lukrativ werden ;). Also nicht einschränken sondern fördern.

    Einmal editiert, zuletzt von DaVu (12. Juli 2023 um 20:09)

  • hi @DaVu natürlich hab ich mir das auf den Webseiten angesehen. Aber noch nicht installiert, das kommt noch und bis September ist auch noch genug Zeit.

    GNOME nanny wird aber nicht mehr weiterentwickelt, so wie viele andere tools auch. Und eol Software ist irgendwie abschreckend.


    Wie ich das administriere ist mir grundlegend klar, es ist ja nicht mein erster PC. Das Problem ist, dass ich selbst viele der Lösungen recht einfach aushebeln kann und deswegen wollte ich auf das Schwarmwissen setzen um zu sehen was sich bewährt.


    Ich versuche abzuwägen ob ich Windows nehme, wo es funktioniert, ich das aber eigentlich gar nicht will. Oder wieviel Zeit ich mit dauerhaft reservieren muss um den PC zu sichern.

    Das einfachste ist natürlich den zertifikatsbasiert per 802.1x in ein vlan ohne Internet zu schieben. Und dann muss man nur die Zeit begrenzen. Aber so richtig toll ist das nicht, weil sich die Anforderungen mit zunehmenden Alter ändern und das möglichst einfach anpassbar sein sollte.

    Das Alter ist 8, daher ist das Internet erstmal tabu.

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!