Kiosk-Linux med Office-suite

Som KaffeMedKotlett skrev ovan så är det "lättaste" (om det inte redan finns någon färdig dist som passar dig) att skapa en ny användargrupp och att se till att tillagda användare endast är medlem i aktuell grupp, och sedan begränsa läs-, skriv- och exekveringsrättigheter på de delar av filsystemet som inte ska kommas åt. Det är lite jobb med det för att inte låsa in sig för lite eller för mycket, men det går rätt smidigt när man vet hur rättigheterna fungerar.

Utgå från en "need-to-know basis" och laborera dig fram (glöm inte att föra anteckningar). Det kan ta lite tid att sätta sig in i på det viset, men det är kul och lärorikt.

Nej då, du begär inte alldeles för mycket. Men du ser det lite från fel ände. Har tyvärrr inte tid att skriva något långt och utförligt just nu, men betänk följande:

Linux har två användarnivåer: "vanliga användare" och "root", där root kan göra vad denne önskar på systemet i stort sett.
Allting i Linux är en fil - allt från dokument, vidare till mappar och ända ner till sockets och processer.
Linux filrättigheter jobbar på principen att varje enskild fil har en ägargrupp (group) och en ägaranvändare (user). Vem som kan läsa, skriva och exekvera filen avgörs på enskild filnivå (och root ignorerar dessa rättigheter) utifrån tre olika variabler: "user", "group" och "anyone".
Antag följande filstruktur (motsvarande vad du ser om du kör "ls -l"):

Mapp    [foo:foogroup] <drwxr-x--->
  Fil1  [foo:foogroup] <-rwxrwxr-x>
  Fil2  [foo:foogroup] <-rw-r--r-->

Alla filerna har ägaren foo (user) och foogroup (group). Rättigheterna inom <> läses grupperade "1,3,3,3". Den första (d) visar att Mapp är just en mapp (vilket under ytan är en samling pekare till inodes ordnade under mappen, men det tänker jag inte gå in på närmare för stunden), och de övriga är read|write|exec (där "-" visar att behörigheten saknas) i ordningen "user|group|anyone".
Vi tar nu fyra olika användare (user:group):
foo:foogroup
moo:foogroup
fee:users
root:root

foo, moo och root kommer att kunna lista och gå in i Mapp, men inte fee.
foo och root kan skapa objekt i Mapp.
Fil1 kan läsas och exekveras av alla användare, men fee kan inte skriva till filen. Det kan te sig märkligt att fee inte kan se eller gå in i Mapp men ändå komma åt Fil1, men det är så det funkar, så vet man sökvägen dit eller ser till att ha en symlink dit så kan man komma åt den (vilket kan vara användbart för att "dölja" filsystemet från användare som ändock kan behöva access till enstaka filer).
Fil2 kan läsas av alla, men endast root och foo kan skriva till den.

Utifrån detta exempel, https://wiki.archlinux.org/index.php/users_and_groups och manpages för chmod/chown bör du kunna komma rätt så långt i dina laborationer. Det viktigaste att komma ihåg är att det är filrättigheterna som avgör vad varje användare kan göra, och vad varje användare har tillgång till är en indirekt följd utav sina grupptillhörigheter.

En idé för mer minimalism vore ju att använda en webbläsare och köra office dokument i molnet via Google Docs och era Google konton. Om ett dokument ska delas så finns det ju en Dela knapp längst uppe i högra hörnet i Google Docs. Så inget behöver sparas i nätverket, allt kommer att sparas på era Google konton. 15GB får alla användare gratis där. Användarna kan sen också komma åt sina dokument hemifrån om det skulle behövas.

Men det är inget alternativ om det handlar om känslig information. Då får du läsa på om andra möjligheter.