Kiosk & Specialized Minimal Distros (Artikel 240)
Analyse spezialisierter Linux-Distributionen für Kiosksysteme und Appliances. Erfahren Sie alles über den Lockdown-Modus, schreibgeschützte Systeme und den Einsatz als Netzwerk-Appliance.
# Kiosk & Appliances: Linux im Lockdown-Modus
TL;DR / Management Summary Ein Kiosk-System (z.B. Terminal in einer Hotellobby oder Monitoring-Schirm im RZ) muss absolut wartungsfrei, sicher gegen Benutzereingriffe und immun gegen Fehlbedienung sein. Spezialisierte Distributionen wie Porteus Kiosk oder OpenWrt reduzieren das OS auf eine einzige Funktion (z.B. Web-Browser oder Router). In diesem Modul lernen wir, wie wir diese “Ein-Zweck-Maschinen” konfigurieren und absichern.
# 1. Einführung & Architektur
Das Single-Purpose Prinzip.
Im Gegensatz zum Allround-Server (Artikel 191) wird hier alles entfernt, was nicht dem Hauptzweck dient.
# Die Appliance-Architektur (Mermaid)
graph TD
A[Hardware: PC / NUC / RPi] --> B[Minimal Kernel]
B --> C[Read-Only OS Image]
C --> D{Autostart Application}
D -->|Option A| E[Full Screen Web Browser]
D -->|Option B| F[Digital Signage: Slide Show]
D -->|Option C| G[Network Service: Router/VPN]
H[Admin Control: Remote Only] --> C
I[User Input: Keyboard/Mouse] -.->|Restricted| D# 2. Porteus Kiosk: Der Goldstandard
Browser-only Sicherheit.
Porteus Kiosk bootet direkt in einen Firefox oder Chrome.
- Sicherheit: Das gesamte Dateisystem wird bei jedem Neustart aus einem Read-Only Image neu geladen.
- Wartung: Die Konfiguration erfolgt über ein einziges Remote-Textfile.
# Beispiel: Remote-Konfiguration
connection=wired
network_interface=eth0
browser=firefox
homepage=https://dashboard.company.local
disable_address_bar=yes
disable_hotkeys=yes# 3. OpenWrt: Linux als Netzwerk-Appliance
Mehr als nur ein Router.
OpenWrt verwandelt billige Hardware in professionelle Netzwerk-Appliances.
- Architektur: Nutzt den musl libc (wie Alpine) und das extrem kleine UCI Konfigurationssystem.
- Vorteil: Massive Performance-Gewinne gegenüber Standard-Firmware.
# 4. Day-2 Operations: Lockdown & Monitoring
Das System versiegeln.
# 1. Physischer Lockdown
Deaktivieren Sie USB-Ports und Bluetooth im BIOS, um unbefugte Hardware-Zugriffe zu verhindern.
# 2. Monitoring (Heimtelefonat)
Da Kiosk-Systeme oft verstreut stehen, nutzen wir Push-Monitoring.
# Kleiner Cron-Job im Kiosk
curl -X POST https://monitoring.intern/alive?host=kiosk01# 5. Troubleshooting & “War Stories”
Wenn der Bildschirm einfriert.
# Story 1: “Der hängende Browser (Memory Leak)”
Symptom: Ein Kiosk-Schirm zeigt nach 3 Tagen nur noch einen weißen Schirm oder reagiert extrem langsam.
Ursache: Die angezeigte Webseite (oft JavaScript-lastig) hat ein Memory Leak. Der Browser frisst den gesamten RAM.
Lösung: Nutzen Sie einen täglichen automatischen Reboot (scheduled_reboot=03:00) in der Kiosk-Konfig.
# Story 2: “Das Captive Portal Dilemma”
Symptom: Der Kiosk-Rechner hat WLAN, lädt aber die Firmenseite nicht. Er zeigt eine leere Seite an. Ursache: Der Rechner steckt in einem Gast-WLAN mit Vorschaltseite (Captive Portal). Der Kiosk-Modus lässt jedoch kein interaktives “Akzeptieren” der AGBs zu. Lösung: Nutzen Sie eine Zertifikats-basierte Authentifizierung (WPA2-Enterprise) oder pinnen Sie die MAC-Adresse im Netzwerk-Backend (Whitelisting).
# 6. Fazit & Empfehlung
- Wahl: Nutzen Sie Porteus Kiosk für öffentliche Web-Terminals.
- Wahl: Nutzen Sie Alpine (Artikel 193), wenn Sie eine eigene Appliance (z.B. Display-Ansteuerung via Python) bauen wollen.
- Wahl: Nutzen Sie OpenWrt für spezialisierte Netzwerk-Hardware.
- Wichtig: Jedes Kiosk-System sollte über ein zentrales Management-Tool (z.B. Porteus Kiosk Server) verwaltet werden.
# Anhang: Cheatsheet
| Aufgabe | Tool / Methode |
|---|---|
| SSH Lockdown | AllowUsers none (Nur Konsole) |
| Web Kiosk OS | Porteus Kiosk |
| Router OS | OpenWrt |
| Mediaplayer OS | LibreELEC |
| Image Erstellung | dd if=kiosk.iso of=/dev/sdX |
| Remote Update | kiosk_config=http://... |
| Dashboard Tool | Full Page Dashboard (Browser Ext) |
| Hardware Monitor | watchdog (Kernel Modul) |