Hallo zusammen,
ich möchte unter Debian verhindern, dass nach dem erfolgreichen booten neu angesteckte Geräte _nicht_ erkannt werden. Dabei möchte ich, dass wirklich alles nicht erkannt wird. USB-Geräte, Firewire, PS/2 Maus und Tastatur, Monitor. Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann. Buchsen ablöten ist dabei nicht wirklich die Lösung. :o)
Gibt es da einen Weg?
Viele Grüße Andreas
Hallo Andreas,
On Mon, Oct 07, 2013 at 19:36:19 +0200, Andreas Oettel wrote:
Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann. Buchsen ablöten ist dabei nicht wirklich die Lösung. :o)
Du moechtest also, dass kein angestecktes Geraet von irgendeinem Treiber angefasst wird und dadurch praktisch wirkungslos bleibt?
Eine radikale Methode waere grossflaechiges Blacklisten von Modulen (inkl. der Module in der initialen Ramdisk). Das wuerde aber bereits beim Booten die ladbaren Module einschraenken.
Auf USB-Ebene koennte man nach dem Booten die /sys/bus/usb/devices/*/authorized-Dateien oder die /sys/bus/usb/drivers_autoprobe-Datei im sysfs nutzen.
Beim Anstecken von PS/2-Geraeten gibt es meineswissens keine Hotplug-Events. Allerdings wird das nicht verhindern, dass sich etwa eine angesteckte PS/2-Tastatur als solche nutzen laesst.
Bei Firewire waere es auch sinnvoll, die Module zu blacklisten. Allerdings kommt es darauf an, wie das BIOS den Firewire-Controller initialisiert. Bei falscher Initialisierung (DMA-Zugriff erlaubt) ist auch ohne Mitwirkung des Betriebssystems der Arbeitsspeicher ueber Firewire les- und schreibbar.
Generell bleibt bei physischem Zugang zum Rechner immer das Problem, dass er von einem externen Medium gebootet werden kann -- das wird kein installiertes System verhindern koennen. Natuerlich kann man ein BIOS-Passwort setzen, aber dann ist die naechste Stufe, einfach die Festplatte auszubauen und extern zu manipulieren. Gegen sowas hilft ein Kryptodateisystem, aber das kann unter Umstaenden verhindern[1], dass der Rechner unattended bootet.
[1] Passphrase-Eingabe ueber dropbear in der initialen Ramdisk waere ein Hack, um auch das zu ermoeglichen.
Gruss, Chris
Hallo Chris,
alles was zu einem Neustart führt, bringt bei mir Datensicherheit, da ich die Festplatten komplett verschlüsselt habe. Das mit dem eigenständige hochfahren ist für mich tatsächlich ein Problem. Aber nur deshalb, weil ich den Rechner aus Sicherheitsgründen bei Abwesenheit runterfahre. Dem werde ich mich aber später widmen. Zuerst möchte ich erst einmal den lokalen Zugriff in Griff bekommen, damit ich die Rechner unkontrolliert laufen lassen kann.
Von Dropbear habe ich schon etwas gelesen, jedoch habe mich damit nicht tiefergehend beschäftigt, da alle meine Rechner über Mobilfunkmodems kommunizieren. In den Mobilfunknetzen sind Zwangsproxys installiert, die jede Kommunikation von außen nach innen abblocken. Ich habe mittlerweile ein Workaround, jedoch funktioniert Dropbear damit _vermutlich_ nicht.
Aber erst mal vielen Dank. Das Thema Blacklisting schaue ich mir mal an.
Viele Grüße Andreas
Am 07.10.2013 20:19, schrieb Christian Perle:
Generell bleibt bei physischem Zugang zum Rechner immer das Problem, dass er von einem externen Medium gebootet werden kann -- das wird kein installiertes System verhindern koennen. Natuerlich kann man ein BIOS-Passwort setzen, aber dann ist die naechste Stufe, einfach die Festplatte auszubauen und extern zu manipulieren. Gegen sowas hilft ein Kryptodateisystem, aber das kann unter Umstaenden verhindern[1], dass der Rechner unattended bootet.
[1] Passphrase-Eingabe ueber dropbear in der initialen Ramdisk waere ein Hack, um auch das zu ermoeglichen.
Hej Andreas!
Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann.
Wenn böse Menschen an den Rechner rankönnen, dann werden sie nicht aufwendig Treiberfehler ausnutzen, sondern einfach die HW mitnehmen.
In meinen Augen ist die Lösung daher eher: Unterbringung des Servers in einem abgeschlossenen Raum mit adäquater traditioneller Sicherheitstechnik.
Beste Grüße Fabian
:o) Unter adäquater traditioneller Sicherheitstechnik fällt mir nur das 220Volt-Kabel verbunden mit dem Schrankschlüssel ein. Das Knöcheltiefe Wasserbecken vor dem Schrank ist zwar erst einmal auffällig, aber mit ein paar Kois drin villeicht nicht so verdächtig. :o)
Gute Nacht. Andreas
Am 07.10.2013 21:29, schrieb Fabian Hänsel:
Hej Andreas!
Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann.
Wenn böse Menschen an den Rechner rankönnen, dann werden sie nicht aufwendig Treiberfehler ausnutzen, sondern einfach die HW mitnehmen.
In meinen Augen ist die Lösung daher eher: Unterbringung des Servers in einem abgeschlossenen Raum mit adäquater traditioneller Sicherheitstechnik.
Beste Grüße Fabian
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
es muss Koi heißen und nach Wikipedia ist es erst argerechte Haltung, wenn mindestens 1.3 m Wassertiefe vorliegen. Außerdem ist dann darauf zu achten, dass das Schloss und der Schrankschlüssel gegen den Schrank isoliert einzubauen ist, damit der Schrank ordnungsgemäß geerdet sein kann.
Da die Urforgabe vorsah, dass bereits das einfache Auslöten der physischen Zugangsbuchsen zu aufwendig, ist glaube ich, dass auch loyale Kriegerinnen neben den Schrank zu postieren nicht in Frage kommt. Wie wär es also mit einem Kern, der einfach keine Module für USB-HCD, Firewire und sonstige zu leicht zugängliche HW mitbringt? Ein besserer Schutz lässt sich sicher nur mit größerem Aufwand–vor allem hinsichtlich der Rechnerunterbringung–gewährleisten.
lg john
Am 07.10.2013 22:58, schrieb Andreas Oettel:
:o) Unter adäquater traditioneller Sicherheitstechnik fällt mir nur das 220Volt-Kabel verbunden mit dem Schrankschlüssel ein. Das Knöcheltiefe Wasserbecken vor dem Schrank ist zwar erst einmal auffällig, aber mit ein paar Kois drin villeicht nicht so verdächtig. :o)
Gute Nacht. Andreas
Am 07.10.2013 21:29, schrieb Fabian Hänsel:
Hej Andreas!
Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann.
Wenn böse Menschen an den Rechner rankönnen, dann werden sie nicht aufwendig Treiberfehler ausnutzen, sondern einfach die HW mitnehmen.
In meinen Augen ist die Lösung daher eher: Unterbringung des Servers in einem abgeschlossenen Raum mit adäquater traditioneller Sicherheitstechnik.
Beste Grüße Fabian
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am 07.10.2013 19:36, schrieb Andreas Oettel:
Hallo zusammen,
ich möchte unter Debian verhindern, dass nach dem erfolgreichen booten neu angesteckte Geräte _nicht_ erkannt werden. Dabei möchte ich, dass wirklich alles nicht erkannt wird. USB-Geräte, Firewire, PS/2 Maus und Tastatur, Monitor. Ich möchte erzwingen, dass jeder, der von dem Rechner was will, über das Netzwerk kommen muss. Ich möchte verhindern, dass irgendjemand gepatchte Hardware an den Rechenr ansteckt und das laufende System komprimitieren kann. Buchsen ablöten ist dabei nicht wirklich die Lösung. :o)
wie wäre es ganz banal mit abschalten der Komponenten im BIOS und einem BIOS-Passwortschutz dazu? PS/2 würde ich mir dann noch zugänglich lassen, damit ich den Rechner nach einem Crash nicht gleich wegwerfen muß. Wenn die interne GraKa abgeschaltet ist und man erst eine einbauen muß, damit man Tastatur und Maus benutzen kann, ist das wahrscheinlich hinreichend sicher.
Gruß Rico
Am Wed, 09 Oct 2013 18:03:42 +0200 schrieb Rico Koerner rico@netbreaker.de:
Wenn die interne GraKa abgeschaltet ist und man erst eine einbauen muß, damit man Tastatur und Maus benutzen kann,
Reset der BIOS-Einstellungen dürfte reichen.
Ich habe das zwar noch nie bei laufendem Betriebsystem ausprobiert, aber ich glaube und hoffe damit ein Biosreset wirksam wird, sollte ein Neustart durchgeführt werden. Und dann macht ja die Festplattenverschlüsselung dicht.
Am 09.10.2013 18:21, schrieb Carsten Weber:
Am Wed, 09 Oct 2013 18:03:42 +0200 schrieb Rico Koerner rico@netbreaker.de:
Wenn die interne GraKa abgeschaltet ist und man erst eine einbauen muß, damit man Tastatur und Maus benutzen kann,
Reset der BIOS-Einstellungen dürfte reichen.
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Am Wed, 09 Oct 2013 21:00:32 +0200 schrieb Andreas Oettel rc5.dresden@gmx.de:
Ich habe das zwar noch nie bei laufendem Betriebsystem ausprobiert, aber ich glaube und hoffe damit ein Biosreset wirksam wird, sollte ein Neustart durchgeführt werden. Und dann macht ja die Festplattenverschlüsselung dicht.
Hab ich auch noch nicht probiert, dürfte aber so sein. Ich meinte auch eher als Vereinfachung für den legitimen Benutzer, dass er da nicht mit der Hardware basteln muss.
Wie ist das aber eigentlich, wenn man eine präparierte PCI/PCIe-Karte nachsteckt - dass die nicht erkannt wird, weil keiner im laufenden Betrieb nach neuer Hardware sucht, ist klar. Aber die Karte müsste sich doch als Busmaster konfigurieren können und hätte dann Zugriff auf den kompletten Speicher? Wer weiß mehr?
ja das sollte gehen imho. Mit DMA kann die karte auf jeden fall den speicher lesen und schreiben am pci bus und die CPU müsste sie da auch aktivieren können. Ich hab da mal ein paper zu gelesen, wo die so ein pci gerät gebaut haben, aber ich weiß grade nicht mehr wies paper hieß.
was aber sein kann, dass pci slots kurz nach dem einschalten irgendwie vom Chipsatz abgeschalten werden um das zu verhindern, aber das ist glaube ich normalerweise nicht so.
lg _john
Am 09.10.2013 21:11, schrieb Carsten Weber:
Wie ist das aber eigentlich, wenn man eine präparierte PCI/PCIe-Karte nachsteckt - dass die nicht erkannt wird, weil keiner im laufenden Betrieb nach neuer Hardware sucht, ist klar. Aber die Karte müsste sich doch als Busmaster konfigurieren können und hätte dann Zugriff auf den kompletten Speicher? Wer weiß mehr?
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
lug-dd@mailman.schlittermann.de
-
_john -
Andreas Oettel -
Carsten Weber -
Christian Perle -
Fabian Hänsel -
Rico Koerner