JEDER User kann ROOT-Passwort ändern? Feature oder Bug?
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist. funktionieren tut das wie folgt: am lilo Prompt als Option "init=/bin/bash" eingeben dann folgendes: mount -o remount,rw / passwd sync mount -o remount,ro / Neustart simpel und funktioniert - ich bin erschüttert! tschau fisch -- EDV-Beratung Fischer Olbrichtplatz 1, 04703 Leisnig http://www.edv-leisnig.de Tel.: +49.160.99054107 info@edv-leisnig.de Fax.: +49.34321.13945 http://www.webdesigner24.com
Haalo Andre, at 12 Jun 2002 17:51:18 +0200 Andre Fischer wrote:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann.
[ ... ]
simpel und funktioniert - ich bin erschüttert!
Bei meiner Workstation funktioniert das nicht. Denn ich nutze Grub als Bootmanager. ;) Auf meinem Server läuft auch lilo, aber ohne Tastatur. ;)) Ne andere Möglichkeit wäre, das lilo keinen Prompt ausspuckt und das System gleich bootet. Gruß Michael -- Runzeln - Schützengräben der Haut. -- Kurt Tucholsky (1890 - 1935), deutscher Journalist, Satiriker und Zeitkritiker der Weimarer Republik Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU GPG-Key ID 0140F88B
On Wed, Jun 12, 2002 at 04:24:32PM +0200, Michael Raab wrote:
Haalo Andre,
Haalo aalle,
at 12 Jun 2002 17:51:18 +0200 Andre Fischer wrote:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann.
[ ... ]
simpel und funktioniert - ich bin erschüttert!
ich auch [...]
Ne andere Möglichkeit wäre, das lilo keinen Prompt ausspuckt und das System gleich bootet.
Nur so 'ne Idee: lilo per passwd schützen? D.h. image-auswahl funktioniert dann ja auch schon nur noch mit passwd. Boot-Optionen gehen dann auch nur noch nach Eingabe des korrekten passwds (bin nicht ganz sicher, ob das 100%ig stimmt) Gruss Henning -- The box said "Requires Windows 95 or better." I can't understand why it won't work on my Linux computer. support Bacteria - It's The Only Culture Some People Have!
On Wed, 2002-06-12 at 17:51, Andre Fischer wrote:
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Jede Maschine, zu der Du physikalischen Zugriff hast, kannst Du auch knacken. Das ist weder Feature noch bug, sondern die Realität (und manchmal die Rettung) :-) Volker (der schon mal ein System so öffnen mußte) PS: Ich kenne kein System wo das nicht in irgendeiner Art geht. (Muss aber nichts heißen, ich habe z.B. noch nie vor einer VMS oder Mainframe Maschine gesessen) -- Volker Kroll 4mino AG Chief System Developer Chausseestr. 52 b volker.kroll@4mino.de D-10115 Berlin Tel.: +49-30-2888490-0 Fax.: +49-30-2888490-99
Hallo Volker, at 12 Jun 2002 17:58:41 +0200 Volker Kroll wrote:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Jede Maschine, zu der Du physikalischen Zugriff hast, kannst Du auch knacken.
Den physikalischen Zugriff würde ich durch das abklemmen der Tastatur verhindern.
Das ist weder Feature noch bug, sondern die Realität (und manchmal die Rettung) :-)
Kann man sowas auch via Bootdisk lösen ? Bye Michael -- It's trivial to make fun of Microsoft products, but it takes a real man to make them work, and a god to make them do anything useful. Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU GPG-Key ID 0140F88B
Am 12.06.2002 um 17:26 schrieb Michael Raab:
Kann man sowas auch via Bootdisk lösen ?
Selbstverständlich. Einfache Bootdisk mit Lilo und Kernel. Dann muss ich halt als Boot-Parameter "root=" und "init=" angeben. Wenn du etwas sicherer gehen möchtest, nimmst du Disketten und CD/DVD-Laufwerke aus der Bootreihenfolge und schützt dein BIOS. -- Dennis Stosberg eMail: dennis@stosberg.net pgp key: http://stosberg.net/dennis.asc icq: 63537718
Hallo Dennis, at Wed, 12 Jun 2002 19:44:35 +0200 Dennis Stosberg wrote:
Am 12.06.2002 um 17:26 schrieb Michael Raab:
Kann man sowas auch via Bootdisk lösen ?
Selbstverständlich. [ ... ]
Wenn du etwas sicherer gehen möchtest, nimmst du Disketten und CD/DVD-Laufwerke aus der Bootreihenfolge und schützt dein BIOS.
Das habe ich bei meinem Server auch gemacht. Aber ich denke mir mal, das ein Hintertürchen zum System nicht das schlechteste ist. Gerade wenn der Admin - aus welchen Gründen auch immer - das Passwort verschludert hat. Gruß Michael -- Windows XP : New look, same multicrashing. Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU-PG-Key ID 0140F88B
Am Mittwoch, 12. Juni 2002 17:26 schrieb Michael Raab:
Hallo Volker,
at 12 Jun 2002 17:58:41 +0200 Volker Kroll wrote:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Jede Maschine, zu der Du physikalischen Zugriff hast, kannst Du auch knacken.
Den physikalischen Zugriff würde ich durch das abklemmen der Tastatur verhindern.
Dann haenge ich halt meine mitgebrachte Tastatur dran und resete einfach...
Das ist weder Feature noch bug, sondern die Realität (und manchmal die Rettung) :-)
Kann man sowas auch via Bootdisk lösen ?
Klar... wenn die Partionen nicht verschluesselt sind kommt man auch dran. Dann habe ich Zugriff auf /etc/passwd und /etc/shadow und kann diese nach belieben editieren. Greets Marius
On Mittwoch, 12. Juni 2002 19:50 Marius Brehler wrote:
Klar... wenn die Partionen nicht verschluesselt sind kommt man auch dran. Dann habe ich Zugriff auf /etc/passwd und /etc/shadow und kann diese nach belieben editieren.
Gibt es eigentlich eine Möglichkeit eine verschlüsseltes Dateisystem zu verwenden, dass beim Mounten nur nach dem Passwort fragt, wenn sich die Festplatte in einem "Fremdsystem" befindet? Albert
Hallo Marius, at Wed, 12 Jun 2002 19:50:53 +0200 Marius Brehler wrote:
Am Mittwoch, 12. Juni 2002 17:26 schrieb Michael Raab:
Kann man sowas auch via Bootdisk lösen ?
Klar... wenn die Partionen nicht verschluesselt sind kommt man auch dran. Dann habe ich Zugriff auf /etc/passwd und /etc/shadow und kann diese nach belieben editieren.
Also könnte man auch die Festplatte aus dem Server rausnehmen und in eine Linux Workstation packen und dort editieren. Fazit: Auch unter Linux ist Sicherheit relativ. Gruß Michael -- MS-DOS didn't get as bad as it is overnight -- it took over ten years of careful development Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU-PG-Key ID 0140F88B
* Michael Raab schrieb am 12.Jun.2002:
Also könnte man auch die Festplatte aus dem Server rausnehmen und in eine Linux Workstation packen und dort editieren.
Fazit: Auch unter Linux ist Sicherheit relativ.
Das hat nichts mit Linux zu tun. Keine Software kann Dich davor schützen, daß jemand die Festplatte klaut. Verschlüsseltes Dateisystem ist sicherlich schon ein richtiger Weg. Ich kenne diese Verschlüsselung nicht, kann mir aber nicht vorstellen, daß ein Superschneller Rechner dies nicht in annehmbarer Zeit knacken kann. Diese tollen Verschlüsselungsverfahren, die es gibt, und auch mit einem schnellen Rechner nicht so einfach zu knacken sind, brauchen viel zu lange, als daß sie zu gebrauchen wären. Sabotage ist viel einfacher. Von BIOS-Paßwörter halte ich gar nichts, da es angeblich kein Problem ist, an den Generalschlüssel zu kommen. Es bleibt dabei, der Server sollte unzugänglich aufgestellt werden. Wenn das so ist, dann ist Linux ganz schön sicher. Bernd
* Bernd Brodesser
Sabotage ist viel einfacher. Von BIOS-Paßwörter halte ich gar nichts, da es angeblich kein Problem ist, an den Generalschlüssel zu kommen.
Du solltest aber schon recht genau wissen, welches BIOS da läuft, und mußt unter Umständen heftig viele Passwörter ausprobieren. Näheres dazu findet man mit google. ;-) cu flo -- Also erkennt man den Bumm daran das lauter tote vor Ihm herlaufen ja. Ist der Bumm dann selber auch tot, oder hatt er sie alle Tot gemacht? Wie sieht der Bumm eigentlich aus? [WoKo in dag°]
Am Donnerstag, 13. Juni 2002 19:13 schrieb Florian Gross:
* Bernd Brodesser
textete am 13.06.02: Sabotage ist viel einfacher. Von BIOS-Paßwörter halte ich gar nichts, da es angeblich kein Problem ist, an den Generalschlüssel zu kommen.
Du solltest aber schon recht genau wissen, welches BIOS da läuft, und mußt unter Umständen heftig viele Passwörter ausprobieren. Näheres dazu findet man mit google. ;-)
Sonst besorg ich mir ein neues EEPROM und Flashe mir eben ein neues BIOS was ich mir vom Hersteller runterlade. Da muss ich dann auch nicht so lange suchen ;] Greets Marius
* Marius Brehler
Am Donnerstag, 13. Juni 2002 19:13 schrieb Florian Gross:
* Bernd Brodesser
textete am 13.06.02: Sabotage ist viel einfacher. Von BIOS-Paßwörter halte ich gar nichts, da es angeblich kein Problem ist, an den Generalschlüssel zu kommen.
Du solltest aber schon recht genau wissen, welches BIOS da läuft, und mußt unter Umständen heftig viele Passwörter ausprobieren. Näheres dazu findet man mit google. ;-)
Sonst besorg ich mir ein neues EEPROM und Flashe mir eben ein neues BIOS was ich mir vom Hersteller runterlade. Da muss ich dann auch nicht so lange suchen ;]
Au ja, ich stell dir mal meine Kiste hin. Viel Spaß beim Auslöten. cu flo, der jetzt dann einen Listenwechsel vorschlgaen würde... -- War damals doch gut hier vorbeizuschauen. All die hübschen Tischigungen mit dem gesunden Antackern. Die leckeren Froschpillen und das hübsche warme weisse Jäckchen. Der hübsche Friedhof mit meinem Ufo. Ach ja und meine Zelle. Ist doch gar nicht so schlecht in dag°. [WoKo in dag°]
Hallo, * Am 17.06.2002 postete Marius Brehler:
Am Donnerstag, 13. Juni 2002 19:13 schrieb Florian Gross:
* Bernd Brodesser
textete am 13.06.02: Sabotage ist viel einfacher. Von BIOS-Paßwörter halte ich gar nichts, da es angeblich kein Problem ist, an den Generalschlüssel zu kommen.
Du solltest aber schon recht genau wissen, welches BIOS da läuft, und mußt unter Umständen heftig viele Passwörter ausprobieren. Näheres dazu findet man mit google. ;-)
Sonst besorg ich mir ein neues EEPROM und Flashe mir eben ein neues BIOS was ich mir vom Hersteller runterlade. Da muss ich dann auch nicht so lange suchen ;]
Ach? Dazu muß man sich heute schon ein neues BIOS brennen? Ich kann mich noch an Zeiten erinnern, in denen es reichte, das BIOS entweder mal für eine kurze Zeit auszubauen oder aber den Jumper am Board auf "clear cmos" umzusetzen. Dann war es aber auch schon aus und vorbei mit dem Passwort. -- Gruß Alex --
Wieso nicht? Hier in Eschede halten sogar ICEs. Bei der Einwohnerzahl nicht schlecht, oder? Das Problem liegt in der Frage, *wo* und *wie* sie halten... -- Stefan Dreyer und Martin Hermanowski in dasr
hallo, die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen? denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen. man kann abschliessend sagen, dass damit linux in verbindung mit lilo unsicherer ist als windows (wenn man vom lokalen "angrif" ausgeht). dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation. gruß, patrick
* Patrick C. schrieb am 17.Jun.2002:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen? denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen.
Ich habe schon mal geschrieben, der Server gehört nicht zugänglich. Die Clients kann man so gestalten, daß man da nicht viel kaput dran machen kann. Oder schaff Dir ein paar X-Terminals an. Da kann man dann sicherlich nichts mehr machen.
man kann abschliessend sagen, dass damit linux in verbindung mit lilo unsicherer ist als windows (wenn man vom lokalen "angrif" ausgeht).
Man kann das System mit einer Boot-CD starten und damit viel kaput machen, egal welches Betriebssystem auf der Platte ist.
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Server gehört in einem Tressorähnlichem Raum. Alle wichtigen Daten liegen nur auf dem Server. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Am Montag, 17. Juni 2002 18:50 schrieb Patrick C.:
hallo,
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen? denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen.
man kann abschliessend sagen, dass damit linux in verbindung mit lilo unsicherer ist als windows (wenn man vom lokalen "angrif" ausgeht).
Na das glaub ich kaum!?? Wie war das F8 drücken oder von Diskette/CD/sonstiges starten ...
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Zum "Aufenthaltsort" für einen Server hat Bernd schon alles gesagt, ansonsten wär Dir ein "man lilo" und "man lilo.conf" zu empfehlen. MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Also die antworten hier finde ich schon "erstaunlich" für leute die linux so hoch halten und immer wieder sagen dass es desktoptauglich ist. ich sagte nicht, dass ich einen bootfähigen datenträger ins laufwerk lege, boote mounte und passwort ändere. ich meinte die lilo lücke mit "init /bin/bash" man kann keine workstations wegsperren. man muss einfach diese option/möglichkeit in lilo entfernen oder lilo durch ein anderes programm ersetzten welches diese möglichkeit nicht hat. anstatt hier mir hier also weiss machen zu wollen, meine kiste gehört weg gesperrt (klasse vorschlag auch, respekt!) sollte man die gefahr erkennen und eine gegenmassname ausarbeiten. vom bootfähigen laufwerk booten kann man durch herausnahme des laufwerks verhindern. lilo init=/bin/bash nicht. und übrigens bei windows 2000 kommt man mit f8 auch nciht weit, weil dann nämlich wenn überhaupt das admin passwort verlangt wird. nein ich bin kein windows user. ich habe schon seit über 4 jahren linux auf der kiste (nur). und auch darum finde ich es unmöglich zu sagen, die kiste gehrt weg gesperrt. dass ein server sicher aufbewahrt werden muss ist klar. eine WS aber nicht. gruß,
Patrick C. wrote:
dass ein server sicher aufbewahrt werden muss ist klar. eine WS aber nicht.
Dann musst du aber auch fuer dich selbst festlegen, was du als geschuetzt haben willst. Wenn du andere Antworten und die am Systemstart beteiligten Programm-Handbuecher gelesen hast, wirst du vielleicht auch noch anders ueber dieses Thema denken. Peter
Patrick C. schrieb:
Also die antworten hier finde ich schon "erstaunlich" für leute die linux so hoch halten und immer wieder sagen dass es desktoptauglich ist.
ich sagte nicht, dass ich einen bootfähigen datenträger ins laufwerk lege, boote mounte und passwort ändere. ich meinte die lilo lücke mit "init /bin/bash"
Hier wurde jetzt schon mehrfach geschrieben, dass man sich "man lilo.conf" anschauen soll. Ich habe auch schon mal vor ein paar Minuten die entsprechende Passage aus man lilo.conf gepostet: password=password Protect the image by a password. restricted A password is only required to boot the image if parameters are specified on the command line (e.g. single). Lest doch mal richtig !!!
* Patrick C.
man kann keine workstations wegsperren. man muss einfach diese option/möglichkeit in lilo entfernen oder lilo durch ein anderes programm ersetzten welches diese möglichkeit nicht hat.
nein ich bin kein windows user. ich habe schon seit über 4 jahren linux auf der kiste (nur).
Wenn du nur Linux booten willst, brauchst du doch gar keinen lilo-Prompt. Nimm einfach "restricted", setz "timeout" auf 0, "delay" auf 0 und lösche "prompt". -- Gruß - Ulli Microsoft isn't the answer. Microsoft is the question, and the answer is no. -- Grant Edwards
"Patrick C."
man kann keine workstations wegsperren. man muss einfach diese option/möglichkeit in lilo entfernen oder lilo durch ein anderes programm ersetzten welches diese möglichkeit nicht hat.
Na, dann mach' das doch endlich. Wie Du schon sagtest: entweder - oder. -- (e)mail-address and gpg-key at http://martins.zangpo.org/ or rot13 znegva-fpuzvgm@jro.qr and ask your favorite keyserver
Patrick C. schrieb:
hallo,
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen? denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen.
Ich glaube, das wurde doch schon im Thread angedeutet. man lilo.conf password=password Protect the image by a password. restricted A password is only required to boot the image if parameters are specified on the command line (e.g. single). Übrigens gibt es noch andere BootLoader für Linux und ein BootLoader ist kein Linux. Somit ist das auf keinen Fall ein "Feature" von Linux. Linux ist nur der Kernel.
Hallo, Am Montag, 17. Juni 2002 18:50 schrieb Patrick C.:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Du musst dafür sorgen, dass niemand an den Rechner mit CD oder Diskette booten kann. Den Rest erledigt ein Lilo Passwort, mit dem verhindert wird, dass Lilo Boot-Prompt-Parameter akzeptiert (Stichwort "restricted").
denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen.
Willkommen in der Wirklichkeit.
man kann abschliessend sagen, dass damit linux in verbindung mit lilo unsicherer ist als windows (wenn man vom lokalen "angrif" ausgeht).
Unfug. Sobald du von Diskette bzw. CD booten kannst hast du was die Sicherheit angeht eben verloren. Das hat nichts mit Linux zu tun. Warum meinst du dass Windows (oder irgendein anderes OS) damit weniger Probleme hat?
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Siehe oben. Schließ den Rechner weg (Zugang nur zu Tastatur, Maus und Monitor - so hatten wir es auch in der Uni) oder sorg zumindest dafür, dass es nicht möglich ist den Rechner von Diskette bzw. CD zu booten. Schöne Grüße aus Bremen hartmut
Am Montag, 17. Juni 2002 19:42 schrieb Hartmut Meyer:
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Siehe oben. Schließ den Rechner weg (Zugang nur zu Tastatur, Maus und Monitor - so hatten wir es auch in der Uni) oder sorg zumindest dafür, dass es nicht möglich ist den Rechner von Diskette bzw. CD zu booten.
Sicher, wird auch bei uns gemacht. aber restarten kann man den rechner trotzdem (gegebenenfalls mit "stecker raus und wieder rein") und schon leuchtet und lilo an und man kann init=/bin/bash eingeben. ich meine nur diese problem. nicht das mit boot medien. gruß aus berlin, patrick
On 17-Jun-02 Patrick C. wrote:
Sicher, wird auch bei uns gemacht. aber restarten kann man den rechner trotzdem (gegebenenfalls mit "stecker raus und wieder rein") und schon leuchtet und lilo an und man kann init=/bin/bash eingeben. ich meine nur diese problem. nicht das mit boot medien.
man lilo.conf --> restricted --> timeout läßt sich doch längst alles regeln. Tip: Wenn Du ein bißchen weniger in der Gegend rumblöken und ein bißchen mehr Doku lesen würdest, bräuchtest Du Deine Unwissenheit nicht so deutlich zu demonstrieren. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
Am Montag, 17. Juni 2002 20:13 schrieb Erhard Schwenk:
man lilo.conf
--> restricted --> timeout
läßt sich doch längst alles regeln.
Tip: Wenn Du ein bißchen weniger in der Gegend rumblöken und ein bißchen mehr Doku lesen würdest, bräuchtest Du Deine Unwissenheit nicht so deutlich zu demonstrieren.
womit wir schonwieder bei "Re: OT: Persönlicher Angriff ..." wären. Nicht jeder muss alle man files "auswendig" wissen. und wer zum hobby man files liesst der muss es nicht anderen leuten zum vorwurf machen dieses nicht zu tun. Wieso können die leute nicht sachlich bleiben sondern glauben immer jemandem etwas beweisen zu müssen? dennoch danke für den hinweis und verweis auf das man file.
Am Mon, 17 Jun 2002 20:47:37 +0200 schrieb "Patrick C.":
Am Montag, 17. Juni 2002 20:13 schrieb Erhard Schwenk:
man lilo.conf
--> restricted --> timeout
womit wir schonwieder bei "Re: OT: Persönlicher Angriff ..." wären. Nicht jeder muss alle man files "auswendig" wissen. und wer zum hobby man files liesst der muss es nicht anderen leuten zum vorwurf machen dieses nicht zu tun. Wieso können die leute nicht sachlich bleiben sondern glauben immer jemandem etwas beweisen zu müssen?
Halt die Luft an. Wenn Du mit Linux arbeiten willst, mußt Du viel lesen oder den hilfreichen Leuten hier auf den Wecker gehen. Du hast etliche Hinweise darauf bekommen, wie man Interaktion zum boot-Beginn unterdrücken kann und einfach ignoriert. Ein Hinweis auf 'man manualpage' ist kein persönlicher Angriff sondern ein gut gemeinter Rat. Du tönst rum, daß Linux nicht sicher gemacht werden kann als workstation, obwohl etliche Hinweise kamen, wie das zu erreichen ist. Bleib bei Windows! mfg -- Andreas Meyer http://home.wtal.de/MeineHomepage
On Monday 17 June 2002 20:47, Patrick C. wrote: > Am Montag, 17. Juni 2002 20:13 schrieb Erhard Schwenk: > > man lilo.conf > > > > --> restricted > > --> timeout > > > > läßt sich doch längst alles regeln. > > > > Tip: Wenn Du ein bißchen weniger in der Gegend rumblöken und > > ein bißchen mehr Doku lesen würdest, bräuchtest Du Deine > > Unwissenheit nicht so deutlich zu demonstrieren. > > womit wir schonwieder bei > "Re: OT: Persönlicher Angriff ..." > wären. Nicht jeder muss alle man files "auswendig" wissen. und > wer zum hobby man files liesst der muss es nicht anderen leuten > zum vorwurf machen dieses nicht zu tun. Wieso können die leute > nicht sachlich bleiben sondern glauben immer jemandem etwas > beweisen zu müssen? > > dennoch danke für den hinweis und verweis auf das man file. Also wenn Du einen Hinweis darauf das deine Frage bereits mehrfach beantwortet wurde und du doch bitte die Mails die dir zum Thema deiner Frage geposted worden sind lesen möchtest als persönlichen Angriff wertest, dann tust du mir fast schon leid. Ausserdem steht das seit mindestens SuSE 5.2 im Handbuch der Distribution. Noch mal zum mitschreiben 1. lilo.conf Man mache aus : # LILO configuration file # Start LILO global Section # If you want to prevent console users to boot with init=/bin/bash, # restrict usage of boot params by setting a passwd and using the option # restricted. #password=bootpwd #restricted ---8<--- einfach: # LILO configuration file # Start LILO global Section # If you want to prevent console users to boot with init=/bin/bash, # restrict usage of boot params by setting a passwd and using the option # restricted. password=ultrageheim restricted ---8<--- und gut ist Allerdings solltest Du dir evtl. ein anderes password als "ultrageheim" aussuchen.Falls dieser Hinweis noch nicht reicht, ich könnte es auch noch Buchstabieren. Genauer kau ich das dir aber nicht mehr vor, ich gehe mal davon aus das du die Buchstaben auf der tastatur selber findest, vorrausgesetzt ich kann davon ausgehen dass du deine mails selber tippst. Tschüss, Thomas
Nabend, [Patrick C.]
Nicht jeder muss alle man files "auswendig" wissen. und wer zum hobby man files liesst der muss es nicht anderen leuten zum vorwurf machen dieses nicht zu tun. Wieso können die leute nicht sachlich bleiben sondern glauben immer jemandem etwas beweisen zu müssen?
Also ich möchte jetzt hier auch mal kurz was einwerfen. Ich habe vor ca. 4/5 Jahren mit einer SuSE 5.1 als kleiner dummer Realschüler angefangen. Ich hatte am Anfang sehr viele Probleme mit Linux, weil ich einfach einige Dinge nicht richtig verstanden habe oder Beispiele einfach abgeschrieben habe ohne zu wissen, dass man z.B. bei Bind Tabstopps verwenden muss. Ich fand die Leute auf dieser Liste auch recht überheblich am Anfang aber einige hier haben Plan von den Dingen und müssen immer wieder auf die gleichen Fragen antworten, weil einige Neulinge einfach zu faul sind, sich man-pages anzuschauen oder im Internet zu suchen. Und die Hinweise zu man-pages / how-to's oder dem SuSE-Handbuch finden sich wirklich an jeder möglichen Stelle. Meiner Meinung nach ist gerade diese Dokumentation einer der grossen Vorteile von Linux. Gut manchmal muss man sie dreimal lesen, aber immerhin gibt es sie - und das bei fast allen Programmen. Wenn man sich also mit Linux beschäftigen will / muss sollte man als aller erstes lernen, sich Dokumentationen durchzulesen, Dinge auszuprobieren und dann zu fragen. Alles in allem denke ich nicht, dass man sich hier beweisen muss, wie gut man die man-pages auswenig kennt. Einige Leute sollten lieber dankbar sein, dass euch einige alte Hasen hier immer noch die entsprechenden Stellen in man-pages posten. Das wars - meine Meinung. Dennis PS: Durch Probieren und Lesen lernt man meiner Meinung nach auch viel mehr, als wenn euch hier jemand sagt, Du muss das oder jenes machen damit es geht.
On 17-Jun-02 Patrick C. wrote:
Am Montag, 17. Juni 2002 20:13 schrieb Erhard Schwenk:
man lilo.conf
--> restricted --> timeout
läßt sich doch längst alles regeln.
Tip: Wenn Du ein bißchen weniger in der Gegend rumblöken und ein bißchen mehr Doku lesen würdest, bräuchtest Du Deine Unwissenheit nicht so deutlich zu demonstrieren.
womit wir schonwieder bei "Re: OT: Persönlicher Angriff ..." wären. Nicht jeder muss alle man files "auswendig" wissen. und wer zum hobby man files liesst der muss es nicht anderen leuten zum vorwurf machen dieses nicht zu tun. Wieso können die leute nicht sachlich bleiben sondern glauben immer jemandem etwas beweisen zu müssen?
dennoch danke für den hinweis und verweis auf das man file.
Sammelst Du Plonks? 1. Um diese Lösung zu finden, muß man sicher nicht "man files auswendig wissen". Man muß lediglich die man page zu den Kommandos und Dateien lesen, die man benutzen möchte. Das ist ja wohl eine Selbstverständlichkeit, wenn man ein Problem hat. 2. Diese Liste ist *nicht* dazu da, Dir das Lesen von Dokumentation abzunehmen. Sie ist dazu da, Dir konkrete Fragen zu beantworten, wenn Du an der Dokumentation was nicht verstehst oder dort etwas nicht findest (in letzterem Fall mit Hinweis auf die passende Stelle in der Doku, in Ersterem erst nachdem Du diese Stelle genannt oder zitiert hast). 2. Die Lösung wurde Dir im Verlauf des Thread nun wirklich mehrfach und ausführlich erklärt. Beziehst Du die Liste Write-Only? 3. Ich habe Dich äußerst höflich darauf hingewiesen, Dich zu informieren, bevor Du in einem überheblicher und marktschreierischer Weise Behauptungen aufstellst, die einfach nur falsch sind. Was sollte ich damit beweisen wollen? Der einzige Beweis, den es zu erbringen gäbe, ist der Deiner uninformiertheit. Den hast Du selbst erbracht, nicht ich. 4. Zu Deiner Reaktion fällt mir eigentlich zunächst ein: getroffene Hunde bellen. 5. Informiere Dich bitte, bevor Du lautstark und öffentlich Kritik übst, Behauptungen in die Welt setzt oder Forderungen von Dir gibst. Der Ton Deiner Mail war schlicht nicht "ich weiß nicht wie das geht", sondern "ich finde es scheiße, *weil* es nicht geht" und gefordert, daß es gehen müßte. Das kann man natürlich machen - aber erst, nachdem man sicher weiß, daß die Voraussetzungen für so eine Forderung auch gegeben sind. Und nicht, wenn man das vermutet oder glaubt. *PLONK* entfällt wegen guter Laune. Aber nur deshalb. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
"Patrick C."
Am Montag, 17. Juni 2002 20:13 schrieb Erhard Schwenk:
Tip: Wenn Du ein bißchen weniger in der Gegend rumblöken und ein bißchen mehr Doku lesen würdest, bräuchtest Du Deine Unwissenheit nicht so deutlich zu demonstrieren.
womit wir schonwieder bei "Re: OT: Persönlicher Angriff ..." wären. Nicht jeder muss alle man files "auswendig" wissen. und wer zum hobby man files liesst der muss es nicht anderen leuten zum vorwurf machen dieses nicht zu tun. Wieso können die leute nicht sachlich bleiben sondern glauben immer jemandem etwas beweisen zu müssen?
Ähm ... a) Das bisschen ist schon ein persönlicher Angriff? Sind wir heute nicht etwas sehr empfindlich? Eine konstruktive Kritik ist etwas anderes als ein persönlicher Angriff! b) Es geht nicht um das auswendig wissen von man-files. Es ist absolut unsinnig, sich irgendwelche Optionen gross merken zu wollen. Es ist aber üblich, sich die man-page zu einem Produkt anzusehen und zumindest zu überfliegen. c) Wo wollte hier irgendwer irgendwem etwas beweisen? Und ja: Ich kann es den Leuten zum Vorwurf machen, wenn diese keine Doku lesen wollen! Wo sind wir hier denn? Kindergarten? Die Antwort ist hier schon recht oft gefallen. Jemand, der eine Frage stellt, aber dann noch nicht einmal bei den Antworten "hinhört", der hätte nicht fragen dürfen. So einfach ist das! Eine Antwort mit einer Beschreibung zu google und zu den Man-pages sind extrem wertvoll. So lernen die Leute nach und nach, sich selbst zu helfen! DAS ist die richtige Hilfe. Was nützt es, wenn Du Leuten etwas zu essen gibst? Klar - sie verhungern dann nicht, aber wenn Du ihnen hilfst, sich selbst zu helfen, dann stehen sie irgendwann auf eigenen Beinen! Versuch doch bitte einmal, das Prinzip der man-Pages zu verstehen! Dabei handelt es sich (unter anderem) um kurzanleitungen, die dabei helfen sollen, dass man sich eben nichts merken muss! Ich weiss nicht, wie die Parameter von find alle heissen. Ein paar kenne ich, weil ich es öfters brauche, aber sonst? Aber ich weiss, wie ich jederzeit Infos kriege! Ich brauche dazu keine Liste! So ist das nunmal! Es ist doch ganz ganz einfach: Wer Linux nutzen will, der soll auch lernen, damit umzugehen! Wer nicht lernen will, wie man mit Linux umzugehen hat, der darf es nicht nutzen! Anderes Beispiel: Hast Du einen Videorekorder? Einen guten mit ganz vielen Möglichkeiten auf einer kleinen Fernbedienung? Super! Und beim Videorekorder war eine Anleitung drin? Warum zum Teufel wehrst Du Dich dagegen, die Anleitung zu lesen? Wenn Du die Anleitung nicht lesen willst, dann wunder dich nicht, wenn Du gewisse Funktionen nicht bedienen kannst! Aber bitte geh doch nicht hin und beschwer Dich beim Hersteller: "Sie sagen der Videorekorder kann xxx. Diese Funktion kann ich nicht finden!" "Dokumentation lesen? Sie können doch niemanden dazu verdonnern Dokumentation zu lesen!". Ist irgendwie idiotisch! Ansonsten - bei der Einstellung darf ich Dich herzlich in meinem Filter begrüßen. Also keine Angst. Solche Antworten (mit ach so schlimmen persönlichen Angriffen - sprich mit kritik!) wirst Du damit von mir nicht mehr kriegen! *PLONK* Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Hallo Patrick, Am Montag, 17. Juni 2002 20:03 schrieb Patrick C.:
Am Montag, 17. Juni 2002 19:42 schrieb Hartmut Meyer:
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden, sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Siehe oben. Schließ den Rechner weg (Zugang nur zu Tastatur, Maus und Monitor - so hatten wir es auch in der Uni) oder sorg zumindest dafür, dass es nicht möglich ist den Rechner von Diskette bzw. CD zu booten.
Sicher, wird auch bei uns gemacht. aber restarten kann man den rechner trotzdem (gegebenenfalls mit "stecker raus und wieder rein") und schon leuchtet und lilo an und man kann init=/bin/bash eingeben. ich meine nur diese problem. nicht das mit boot medien.
Hallo? Sach mal, liest du eigentlich die Mails auf die du antwortest? Ich (und andere) haben dir doch gesagt wie man Lilo dazu bringt keine Boot-Prompt-Parameter zu akzeptieren (init=/bin/bash _ist_ ein solcher!). Den entsprechenden Teil meiner Mail hast du praktischerweise nicht mit-gequotet. Hier nochmal: "Den Rest erledigt ein Lilo Passwort, mit dem verhindert wird, dass Lilo Boot-Prompt-Parameter akzeptiert (Stichwort "restricted")." Also bitte: Mails noch mal lesen. Dann denken. Dann verstehen. Dann evtl. noch mal nachfragen. Danke. Schöne Grüße aus Bremen hartmut
On 17-Jun-02 Patrick C. wrote:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Indem man den Rechner wegsperrt, ganz einfach.
denn mit dieser lücke oder "feature" ist linux nicht geeingnet um als workstation (z.B. in der uni) zu dienen. nur zu leicht kann jeder auf der einen workstation root rechte bekommen und böse sachen machen.
Nonsense. In solche Workstations gehören keine bootfähigen externen Laufwerke, und schon ist er Fall erledigt. Abgesehen davon würde man sowas wenn man etwas nachdenkt ohnehin mit X-Terminals aufbauen - und auch da gehören die Server abgeschottet.
man kann abschliessend sagen, dass damit linux in verbindung mit lilo unsicherer ist als windows (wenn man vom lokalen "angrif" ausgeht).
Völliger Quatsch, jedes Windows kannst Du genauso rooten, wenn Du Zugriff auf den Rechner hast. Man braucht auch bloß eine NT-CD dazu, von der man booten kann. Oder man macht das halt mit knoppix und mountet sich das ntfs.
dies ist kein zustand und dieses sicherheitsloch MUSS geschlossen werden,
Schrei nicht so, abgesehen davon ist deine Forderung utopisch. Für *jedes* System. Zugang zum Rechner == Zugang zu den Daten. Es sei denn, Du willst bei jedem Bootvorgang mit der Keycard und dem Admin-Passwort vorbeischauen und das Filesystem hart verschlüsseln. Das kann man mit Linux auch realisieren, will man aber in der Regel nicht weil viel zu viel Aufwand. Also sperr die Server weg, gib den Leuten X-Terminals und gut ist.
sonst kann man linux knicken als workstation in öffentlichen räumen. sicherlich ist die gefahr zu hause nicht so gross aber denkt immer an den workstation.
Wird seit jahrzehnten in aller Welt so praktiziert und gibt keinen Ärger. Datenträger mit wichtigen oder gefährlichen Daten oder Programmen gehören nunmal physikalisch unzugänglich gemacht, und in dem Moment stellt sich das Problem gar nicht mehr. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
Moin, Patrick C. schrieb am 17.06.2002 (18:50):
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Mehrere Möglichkeite wurden doch schon am Anfang dieses Threads eindeutig von mehreren Leuten genannt, hier einige als Beispiel: - Anderen Bootmanager als lilo verwenden - die "restricted"-Option von lilo verwenden Gruß, Antje P.S.: Bitte bastel Dir einen Realname. Danke. -- Computers make very fast, very accurate mistakes.
Am Montag, 17. Juni 2002 18:50 schrieb Patrick C.:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Fassen wir doch mal kurz zusammen: 1. Bios so einstellen, dass es ausschliesslich von der Startplatte bootet. 2. Bios-Passwort vergeben (was je nach Bios zwar nicht unbedingt sicher sein muß, aber den Gelegenheitshacker vielleicht doch von weiteren Attacken abhält, selbst im Internet recherchieren, wie es mit dem Passwortern für das eingesetzte BIOS aussieht, kann nicht schaden, eventuell Up- oder Downgraden, wenns mit Vorgänger- oder Nachfolgerversionen des BIOS besser aussieht und diese nicht andere Probleme aufwerfen). Sicheres Passwort verwenden und BIOS-Passwort nicht auf den Rechner kleben ;-) 3. /etc/lilo.conf Eintrag 'prompt' rausschmeissen, restricted rein und dann den delay noch auf 0, bei nem Server wirds ja wohl nicht so viel Konfigurationen geben (nach nem Kernelupdate sollte man vor dem ersten Start vielleicht was anderes reinnehmen). 4. Servergehäuse/Boards bieten oft die Möglichkeit, ein öffnen des Gehäuses zu erkennen, mit LM-Sensors kann man sich sowas gleich zumailen lassen (genauso wie Lüfterausfälle, Spannungseinbrüche usw.), das kann eventuell was helfen, ein Schloß am Gehäuse natürlich auch. 5. Da 1. ohne 2. keine Sicherheit garantiert und 3. aushebelt, gilt wie schon öfters erwähnt, die physikalische Annäherung an den Server so schwierig wie möglich machen. Unnötige Lauwerke eventuell ausbaun, ein Printserver kommt sicher ganz gut ohne Floppy und CD- ROM aus, Updates können übers Netz eingespielt werden und booten soll er eh nur von der Platte. 6. Auch wenns dann vielleicht schon zu spät ist, ne Überwachungskammera mit Bewegungssensor kann abschrecken, langwieriges Hantieren eventuell verhindern und Täter dingfest machen helfen. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Manfred Tremmel
Hallo Konrad, * Konrad Neitzel schrieb am 18.Jun.2002:
Aber damit erreicht man nicht zuviel. Ich würde z.B. den Rechner ganz ohne CD-ROM und Diskettenlaufwerk ausstatten. Gehäuse absichern, so dass da auch niemand mehr dran kann.
Wenn ich z.B. einen Rechner in einem Öffentlichen Bereich unterstellen will, dann nehme ich keinen 08/15 PC. (Obwohl: Mach ruhig - ich hole ihn mir dann Nachts, wenn er gut ausgestattet ist!). Es gibt sehr nette Gehäuse, die recht sicher sind. Und da hast Du dann auch kaum Anschlussmöglichkeiten!
Was spricht gegen Rechner ohne Festplatte und einem Fileserver, der in einem Serverraum gut verschlossen steht? Oder gleich X-Terminals. Da hat man all diese Probleme nicht. Solange man nicht am Server/Rechner heran kommt ist doch alles gut. Am besten ein Rechnerraum, wo der Sysadmin im Ausnahmefall den Server direkt bedienen kann. Normalerweise sitzt der natürlich auch in einem vernünftigen Büro, an irgendeinem X-Terminal. Das Terminalkonzept finde ich immer noch das Beste.
Was bekommt der "Angreifer" durch eine solche Attacke? Lokale Admin- Rechte. Nur was kann er damit anfangen? Vielleicht ist dies gar nicht so schlimm?
So ist es.
Bei Servern sollte so oder so eine Überwachung inkl. Zugangsbeschränkung üblich sein.
ACK.
Und auch bei Firmen sollte es üblich sein, dass nicht jeder überall rein kann (Ein zentraler Zugang, Türe muss geöffnet werden, ...). Der normale Menschenverstand ist hier wichtig! Zuhause lasse ich ja auch nicht die Türe immer offen.
Es mag Firmen geben, die einen starken Kundenzulauf haben. Einkaufsmärkte sind hier ein gutes Beispiel. Aber auch hier ist es einfach, die Kunden von "sensiblen" Bereichen fern zu halten.
Es wird sich doch irgendwo ein Raum finden, im Keller oder so, am Besten ohne Fenster, mit festen Mauern und eine Stahltür davor. Wenn man sowas hat, so ist das ein idealer Serverraum. Der Sysadmin muß da normalerweise nicht drin arbeiten, nur im Ausnahmefall. Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
B.Brodesser@t-online.de (Bernd Brodesser) schrieb:
Was spricht gegen Rechner ohne Festplatte und einem Fileserver, der in einem Serverraum gut verschlossen steht? Oder gleich X- Terminals. Da hat man all diese Probleme nicht. Solange man nicht am Server/Rechner heran kommt ist doch alles gut.
Ja genau! Das Konzepot ist gut, nur eben braucht man schnelle Netzwerke. Siehe iSCSI von IBM. SCSI über TCP/IP, benötigt aber ein Gigabit Netzwerk :) War neulich bei Heise im Newsticker ...
Es wird sich doch irgendwo ein Raum finden, im Keller oder so, am Besten ohne Fenster, mit festen Mauern und eine Stahltür davor. Wenn man sowas hat, so ist das ein idealer Serverraum. Der Sysadmin muß da normalerweise nicht drin arbeiten, nur im Ausnahmefall.
Ja - ganz meine Meinung! Das Problem kann nur kommen, wenn a) Platzprobleme vorhanden sind b) Leitungen gezogen werden müssten Aber auch da gibt es oft noch einen Archivraum, den man auch abschliessen kann. Bei meinem Beispiel mit dem extremen "Publikumsverkehr" ist es ja auch so, dass der Betrieb gewisse Dinge schützen will. So hat ein Geschäft auch einen Raum für den Geschäftsführer, in dem auch meistens ein Tresor ist und so. Eine Lösung findet sich immer! Mich hatte aber auch mehr gestört, dass sich Leute an einem kleinen Punkt der IT Security so festhalten und rumschreien. Das Geschrei bei einem potentiellen Bug ist ja ok (Wenn nicht schon 2*10^24 Leute auf die Lösung hingewiesen hätten :) ), aber man sollte alles etwas distanzierter sehen. Und das fehlte mir bei einem bestimmten User total (Was ich mir aber nicht hab anmerken lassen, oder? *grins* Ups ... war da das *PLONK* zu sehr in Grossbuchstaben gewesen? :-)) ) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am Dienstag, 18. Juni 2002 07:36 schrieb Konrad Neitzel:
Aber damit erreicht man nicht zuviel. Ich würde z.B. den Rechner ganz ohne CD-ROM und Diskettenlaufwerk ausstatten. Gehäuse absichern, so dass da auch niemand mehr dran kann.
Hab ich ja auch geschrieben (unter anderem), überall dort wo nicht benötigt, sollte man die Dinger ausbaun.
Wobei dies auch nur alles erschwert. Wer noch viel sicherer sein will, der sollte einfach der Anleitung folgen, wie man den IIS richtig sicher hinbekommt. Die Kurzform (evtl. leicht abgewandelt):
- Rechner gut (luftdicht) verpacken - Gut verschliessen - Zusammen mit radioaktiven Müll 8Radioaktivität muss so stark sein, dass eine Annäherung nicht für Lebewesen möglich ist!) an der tiefsten Stelle des Ozeans versenken.
Hm, glaubst Du etwa die Betreiber von Selafield und LeHague werden es Zulassen wenn man Serverfarmen am Ende ihrer Abflussrohre aufbaut? Abgesehen davon, dass die vermutlich nicht laufen würden, elektrische Geräte und Radioaktivität sind IMHO so kompatibel wie stabile Rechner und Windows ;-)
Dieser Rechne wird so schnell nicht mehr gehackt - allerdings erfüllt er auch keinen bestimmten Zweck mehr, so dass man nicht mehr hat, als wenn man auf alles ganu verzichten würde.
Naja, Sinn und Unsinn einer Aktion ...
Was will ich damit sagen: - Es lohnt sich, zu überlegen, was ich überhaupt will! - Was für Schritte kann ich ohne Probleme vollziehen?
Jo.
Wenn ich z.B. einen Rechner in einem Öffentlichen Bereich unterstellen will, dann nehme ich keinen 08/15 PC. (Obwohl: Mach ruhig - ich hole ihn mir dann Nachts, wenn er gut ausgestattet ist!). Es gibt sehr nette Gehäuse, die recht sicher sind. Und da hast Du dann auch kaum Anschlussmöglichkeiten!
Ein öffentlicher Rechner sollte (wie z.B. Bankautomaten) eingebaut sein und entsprechend nicht "wegnehmbar".
Die Frage ist wirklich, was Du genau willst!
Natürlich, was ist notwendig, welcher Aufwand soll betrieben werden und warum veröffentlich die Konkurrenz unsere Produkte immer vor uns ;-) -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Am Montag, 17. Juni 2002 21:47 schrieb Manfred Tremmel:
Am Montag, 17. Juni 2002 18:50 schrieb Patrick C.:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Fassen wir doch mal kurz zusammen:
1. Bios so einstellen, dass es ausschliesslich von der Startplatte bootet.
2. Bios-Passwort vergeben (was je nach Bios zwar nicht unbedingt sicher sein muß, aber den Gelegenheitshacker vielleicht doch von weiteren Attacken abhält, selbst im Internet recherchieren, wie es mit dem Passwortern für das eingesetzte BIOS aussieht, kann nicht schaden, eventuell Up- oder Downgraden, wenns mit Vorgänger- oder Nachfolgerversionen des BIOS besser aussieht und diese nicht andere Probleme aufwerfen). Sicheres Passwort verwenden und BIOS-Passwort nicht auf den Rechner kleben ;-)
;-))
3. /etc/lilo.conf Eintrag 'prompt' rausschmeissen, restricted rein und dann den delay noch auf 0, bei nem Server wirds ja wohl nicht so viel Konfigurationen geben (nach nem Kernelupdate sollte man vor dem ersten Start vielleicht was anderes reinnehmen).
4. Servergehäuse/Boards bieten oft die Möglichkeit, ein öffnen des Gehäuses zu erkennen, mit LM-Sensors kann man sich sowas gleich zumailen lassen (genauso wie Lüfterausfälle, Spannungseinbrüche usw.), das kann eventuell was helfen, ein Schloß am Gehäuse natürlich auch.
5. Da 1. ohne 2. keine Sicherheit garantiert und 3. aushebelt, gilt wie schon öfters erwähnt, die physikalische Annäherung an den Server so schwierig wie möglich machen. Unnötige Lauwerke eventuell ausbaun, ein Printserver kommt sicher ganz gut ohne Floppy und CD- ROM aus, Updates können übers Netz eingespielt werden und booten soll er eh nur von der Platte.
Für Server kein Problem, die stehen in abgeschlossenen Räumen (zumindest solllten sie das).
6. Auch wenns dann vielleicht schon zu spät ist, ne Überwachungskammera mit Bewegungssensor kann abschrecken, langwieriges Hantieren eventuell verhindern und Täter dingfest machen helfen.
Nur er sprach in einer seiner Mails von Desktops/Workstations, da ist das nicht so einfach bzw. nich alles so Durchzuführen. Man kann solche Workstations auch direkt aus dem Netz booten, da hat man dann nicht nur überhauptkeinen bootprompt mehr, sondern auch noch eine ganze Reihe anderer Vorteile wie: 1. Kosteneinsparung, warum 100 Harddisks für 100 Rechner wenn es auch eine tut 2. einfachere Verwaltung/Installation/Wartung, 3. volle Multimediatauglichkeit(im Gegensatz zu den "allseits" beliebten X-Terminals), 4. "unkaputtbarer" Rechner - einfach mal Ausschalten macht der Kiste nix (mit Ausnahme der Daten des Nutzers, wenn er vergessen hat sich abzumelden) -- _besonders_wichtig_ für Schulen, Uni und andere "Bildungskisten" 5. einen entsprechend programmierten BootROM vorausgesetzt, kann von keinem anderen BootDevice mehr gebootet werden. Um das zu umgehen, muß der "Angreifer" die Netzwerkkarte / den BootROM ausbauen und vom Floppy/CD etc. zu booten, bloß was hat er dann davon .... etc.etc. etc. ... MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
On Wed, Jun 12, 2002 at 05:58:41 +0200, Volker Kroll wrote:
On Wed, 2002-06-12 at 17:51, Andre Fischer wrote:
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Jede Maschine, zu der Du physikalischen Zugriff hast, kannst Du auch knacken. Das ist weder Feature noch bug, sondern die Realität (und manchmal die Rettung) :-)
Und was wenn du ein Crypto-FS mit ro gemountet hast? -- mfg Martin Neuditschko
Hallo Andre
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist. .. simpel und funktioniert - ich bin erschüttert! Mich nicht. Was willst Du tun, wenn Du mal (soll schon vorgekommen sein) das root-Passwort vergisst? Es ist auch nicht tragisch, dass das so ist. Bei anderen OSs ist das noch viel erschütternder. :-)
Und warum ist das egal? Ganz einfach. Auch der physikalische Zugriff auf ein System gehört in ein Sicherheitskonzept. Stell Dir vor, Du möchtest auf diese Art einen IBM-Server unter Deine Kotrolle bringen... 1) Nach Amerika fliegen. 2) Ab zum IBM-Firmengelände 3) Am Portier vorbei 4) In den Serverraum ... aha. Da dürfte dann wohl das Problem liegen. :-) Gruss Michael
Am Mit, 2002-06-12 um 18.15 schrieb Michael Rolli:
Hallo Andre
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist. .. simpel und funktioniert - ich bin erschüttert! Mich nicht. Was willst Du tun, wenn Du mal (soll schon vorgekommen sein) das root-Passwort vergisst?
dann habe ich als Root Zugriff auf das Installationsmedium, von dem boote ich ein Rescue-System und ändere dann das Root-Passwort
Und warum ist das egal? Ganz einfach. Auch der physikalische Zugriff auf ein System gehört in ein Sicherheitskonzept. Stell Dir vor, Du möchtest auf diese Art einen IBM-Server unter Deine Kotrolle bringen...
das ist mir Egal - ich hab nix gegen IBM mir geht es eher um die Kisten, die ich administriere und die öffentlich zugänglich sind und auf denen lilo als Bootmanager läuft ich werde mich jetzt erstmal genauer mit lilo beschäftigen tschau fisch -- EDV-Beratung Fischer Olbrichtplatz 1, 04703 Leisnig http://www.edv-leisnig.de Tel.: +49.160.99054107 info@edv-leisnig.de Fax.: +49.34321.13945 http://www.webdesigner24.com
Am 12.06.2002 um 18:21 schrieb Andre Fischer:
mir geht es eher um die Kisten, die ich administriere und die öffentlich zugänglich sind und auf denen lilo als Bootmanager läuft
ich werde mich jetzt erstmal genauer mit lilo beschäftigen
Mit den Optionen "password" und "restricted" kannst du dieses Feature von Lilo deaktivieren. Aber wenn du etwas weiter denkst, wirst du merken, dass es nicht so viel bringt. Wenn ich ohne Root-Kennwort die Maschine neustarten will, muss ich entweder an die physikalische Tastatur (SYS-RQ) oder den Reset-Knopf. Wenn dann der Lilo keine Init-Option annimmt, kann ich versuchen, mein das System von Diskette oder CD zu starten, und dann z.B. das Root-Kennwort geändert. Selbst wenn Booten von Wechselmedien im BIOS abgestellt, das BIOS natürlich passwortgeschützt ist, oder gar keine CD- oder Diskettenlaufwerke vorhanden ist, kann ich theoretisch in einer ruhigen halben Stunde immer noch die Platte ausbauen, an meinem Laptop mounten und so das Root-Kennwort ändern. Solange man physikalischen Zugriff auf ein Gerät hat, kann man viel manipulieren. Für wirklich paranoide Seelen könnte man durch ein verschlüs- seltes Dateisystem (z.B. loop-aes.sf.net) mehr Sicherheit gegen physikalische Manipulationen bekommen. Dadurch ist as System nämlich im angreifbaren Zustand (Ausgeschaltet, Boot-Phase) besser gegen Manipulationen gesichert. -- Dennis Stosberg eMail: dennis@stosberg.net pgp key: http://stosberg.net/dennis.asc icq: 63537718
Dennis Stosberg schrieb:
Selbst wenn Booten von Wechselmedien im BIOS abgestellt, das BIOS natürlich passwortgeschützt ist, oder gar keine CD- oder Diskettenlaufwerke vorhanden ist, kann ich theoretisch in einer ruhigen halben Stunde immer noch die Platte ausbauen, an meinem Laptop mounten und so das Root-Kennwort ändern.
Solange man physikalischen Zugriff auf ein Gerät hat, kann man viel manipulieren.
Außer, man besorgt sich ein abschließbares Gehäuse mit ebenfalls abschließbarer Frontklappe. Dann kann keiner mehr dran rumfummeln, der nicht mindestens einen Schneidbrenner im Gepäck hat. Grüße, Patrick
Am 12.06.2002 um 19:22 schrieb Patrick Hess:
Außer, man besorgt sich ein abschließbares Gehäuse mit ebenfalls abschließbarer Frontklappe. Dann kann keiner mehr dran rumfummeln, der nicht mindestens einen Schneidbrenner im Gepäck hat.
Hmm. Habe ich gerade nicht dabei. Aber es kommt darauf an, was ich vor wem schützen möchte. Wenn sichergehen möchte, dass sensible Daten nicht in falsche Hände geraten, ist ein verschlüsseltes Dateisystem eleganter und sicherer als ein Tresor. Wenn ich allerdings einen Rechner an einem öffentlichen Platz aufstelle, dann geht nichts über ein stabiles Metallgehäuse und eine entsprechende Tastatur. Aber dann möchte ich ja nicht meine Daten schützen, sondern meine Hardware. Aber ich glaube, es entwickelt sich hier etwas in Richtung OT. -- Dennis Stosberg eMail: dennis@stosberg.net pgp key: http://stosberg.net/dennis.asc icq: 63537718
Am Mittwoch, 12. Juni 2002 19:22 kritzelte Patrick Hess folgende Zeilen:
Außer, man besorgt sich ein abschließbares Gehäuse mit ebenfalls abschließbarer Frontklappe. Dann kann keiner mehr dran rumfummeln, der nicht mindestens einen Schneidbrenner im Gepäck hat.
Ich weiss nicht mehr wo das stand, /. oder so. Da hatte ein Typ seinen Rechner mit Beton ausgegossen und offen ohne Kette in seinen Vorgarten gestellt. Hat mehr als eine Woche gedauert, bis ihn jemand mitgenommen hat. Kunststück, hat auch locker 60 Kilo gewogen. OK, er lief nicht mehr mit Beton drin, aber vielleicht kriegt man das ja noch in den Griff... Jörg@home -- 186,000 miles/sec: Not just a good idea, it's the LAW. joerg@donalbain.de http://www.donalbain.de running Kernel: 2.4.19p7 theater hEXagon Kiel http://www.theater-hexagon.de neu 2002: Die Möwe
* Andre Fischer schrieb am 12.Jun.2002:
mir geht es eher um die Kisten, die ich administriere und die öffentlich zugänglich sind und auf denen lilo als Bootmanager läuft
ich werde mich jetzt erstmal genauer mit lilo beschäftigen
Sorg dafür, daß der Server nicht öffentlich zugänglich ist. Braucht doch nur jemand die Festplatte auszubauen, oder mit dem dicken Hammer zu kommen. Was will so eine arme kleine Software gegen den dicken Hammer unternehmen? Und glaub ja nicht, daß es das nicht schon gegeben hat. Es wurden mehr als ein Rechner zertrümmert. Sicherungsbänder sollten natürlich auch nicht öffentlich zugänglich sein. Bernd
Am Mittwoch, 12. Juni 2002 18:21 schrieb Andre Fischer:
Am Mit, 2002-06-12 um 18.15 schrieb Michael Rolli:
Hallo Andre
[...]
dann habe ich als Root Zugriff auf das Installationsmedium, von dem boote ich ein Rescue-System und ändere dann das Root-Passwort
Und warum ist das egal? Ganz einfach. Auch der physikalische Zugriff auf ein System gehört in ein Sicherheitskonzept. Stell Dir vor, Du möchtest auf diese Art einen IBM-Server unter Deine Kotrolle bringen...
das ist mir Egal - ich hab nix gegen IBM
mir geht es eher um die Kisten, die ich administriere und die öffentlich zugänglich sind und auf denen lilo als Bootmanager läuft
Da gibt es mehrere Möglichkeiten: 1. Lilo entspr. Konfigurieren (das haben andere schon geschrieben) 2. Anderen Bootmanager Das reißt aber alles nicht "des Übels Wurzel" raus ... Solange phys. Zugriff auf Datenträger mögl. ist kann man (fast) alles drauf ändern - nur eine Frage des Aufwandes und der Zeit. Eventuell kannst Du die Kisten doch remote booten, dann gibt es keine(n) BootPrompt, Festplatte etc. wo man manipulieren kann.
ich werde mich jetzt erstmal genauer mit lilo beschäftigen
MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
On Wed, 12 Jun 2002, Michael Rolli wrote: > Hallo Andre > > >simpel und funktioniert - ich bin erschüttert! > Stell Dir vor, Du möchtest auf diese Art einen IBM-Server unter Deine > Kotrolle > bringen... > 1) Nach Amerika fliegen. > 2) Ab zum IBM-Firmengelände NACK, IBM gibt es ueberall, z.B. bei mir auf Arbeit... > 3) Am Portier vorbei Unser Pfoertner laesst jedem rein, der freundlich "Moin" sagt ;-) > 4) In den Serverraum ... aha. Da dürfte dann wohl das Problem liegen. :-) Um in den Serverraum zu kommen, ziehe ich mein Badge durch den Badgereader, oeffne die Tuer, schalte die Klima ab und die Monis an, und dann ist alles zu spaet ;-) Gruss, Conrad.
* Conrad Gliem
On Wed, 12 Jun 2002, Michael Rolli wrote:
Stell Dir vor, Du möchtest auf diese Art einen IBM-Server unter Deine Kotrolle bringen... 1) Nach Amerika fliegen. 2) Ab zum IBM-Firmengelände NACK, IBM gibt es ueberall, z.B. bei mir auf Arbeit...
3) Am Portier vorbei Unser Pfoertner laesst jedem rein, der freundlich "Moin" sagt ;-)
Dann braucht man keinen Pförtner. Also Monteur weiß ich, daß die meisten Pförtner da etwas anders sind. Vor allem nach dem 11. September... OK, ich komme auch in Bereiche rein, in die oft nicht mal potentielle Kunden reinkommen. cu flo -- Du bist ein Kostverächter. Weisst du denn nicht das Hamburger und Bigmäcs bald Volksnahrungmittel sind. Das einzige was stört ist das Trolle und Elche damit auch gefüttert werden. welch eine Verschwendung. [WoKo in dateka°]
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Herzlichen Glückwunsch. Sie haben "real live" (tm) kennengelernt. Deshalb verwendet man auch den Lilo-Passwort-Schutz, um das Verändern der Boot-Parameter zu verhindern. Aber grundsätzlich gilt: Wer physikalischen Zugriff auf eine Maschine hat, kann sie auch knacken. Spätestens mit dem Rescue-System. MfG Henning Hucke -- Einer muss den Frieden beginnen, wie den Krieg. -- Stefan Zweig
Am Mittwoch, 12. Juni 2002 18:22 schrieb Henning Hucke:
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Herzlichen Glückwunsch. Sie haben "real live" (tm) kennengelernt.
Deshalb verwendet man auch den Lilo-Passwort-Schutz, um das Verändern der Boot-Parameter zu verhindern. Aber grundsätzlich gilt: Wer physikalischen Zugriff auf eine Maschine hat, kann sie auch knacken. Spätestens mit dem Rescue-System.
Passwort auf das Bios und keine Bootreihenfolge Floppy, CD... erschweren das schon mal. weiter eine zugeschraubte Kiste, an der man schon mal länger aufschrauben muß. Da erinnere ich mich an unsere alten INDY's, die hatten hinten eine starke Lasche mit der man das Ding anketten konnte und dadurch auch verhindern, daß sie einer sanft öffnen konnte. Grüße gg
Hi Andre, Andre Fischer schrieb:
hi, ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
funktionieren tut das wie folgt:
am lilo Prompt als Option "init=/bin/bash" eingeben dann folgendes: mount -o remount,rw / passwd sync mount -o remount,ro /
Neustart
simpel und funktioniert - ich bin erschüttert!
Das kannst Du in der /etc/lilo.conf deakivieren. Schau Dir mal die manpage oder hilfe zu lilo an. Gruß Martin
Moin, Andre Fischer schrieb am 12.06.2002 (17:51):
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
funktionieren tut das wie folgt:
am lilo Prompt als Option "init=/bin/bash" eingeben [..]
Sobald Du physikalischen Zugriff auf einen Rechner hast, ist der Rest nicht mehr so schwer. In "man lilo.conf" steht was über die per-image-Optionen password und restricted, vielleicht ist das etwas, was für Dich in Frage kommt, wenn Du Benutzer hast, die mal etwas rumspielen, aber noch davor zurückschrecken - die Festplatte einfach auszubauen und in einen anderen Rechner einzubauen und zu mounten, - mit Knoppix, SuSE Rettungssystem o.ä. zu booten - ... Pack Deine wirklich geheimen Daten auf ein verschlüsseltes Dateisystem. Schließ den Server gut weg. Sei in gesundem Rahmen paranoid ;-) Gruß, Antje -- If it's stupid but works, it isn't stupid.
Am Mit, 2002-06-12 um 18.30 schrieb Antje M. Bendrich:
Moin,
Andre Fischer schrieb am 12.06.2002 (17:51):
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
funktionieren tut das wie folgt:
am lilo Prompt als Option "init=/bin/bash" eingeben [..]
Sobald Du physikalischen Zugriff auf einen Rechner hast, ist der Rest nicht mehr so schwer.
das ist bekannt
In "man lilo.conf" steht was über die per-image-Optionen password und restricted, vielleicht ist das etwas, was für Dich in Frage kommt, wenn Du Benutzer hast, die mal etwas rumspielen, aber noch davor zurückschrecken - die Festplatte einfach auszubauen und in einen anderen Rechner einzubauen und zu mounten, - mit Knoppix, SuSE Rettungssystem o.ä. zu booten - ...
genau das beschreibt die Situation, wobei die Rechner gut weggeschlossen sind (nur Taste, Mouse, Moni, Drucker, Scanner physikalisch erreichbar)
Pack Deine wirklich geheimen Daten auf ein verschlüsseltes Dateisystem. Schließ den Server gut weg. Sei in gesundem Rahmen paranoid ;-)
mir geht es in dem Zusammenhang um frei zugängliche PC's und nicht um Server tschau fisch -- EDV-Beratung Fischer Olbrichtplatz 1, 04703 Leisnig http://www.edv-leisnig.de Tel.: +49.160.99054107 info@edv-leisnig.de Fax.: +49.34321.13945 http://www.webdesigner24.com
* Andre Fischer schrieb am 12.Jun.2002:
mir geht es in dem Zusammenhang um frei zugängliche PC's und nicht um Server
Dann mach es so, daß der Angreifer keinen größeren Schaden anrichten kann, wenn er auf dem Rechner root-Rechte hat. Was solls, auf dem Server hat er sie deshalb lange noch nicht. Und wenn der Server auch ein Fileserver ist, ist doch alles in Ordnung. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Am Mittwoch, 12. Juni 2002 18:43 schrieb Andre Fischer:
Am Mit, 2002-06-12 um 18.30 schrieb Antje M. Bendrich:
Moin,
Andre Fischer schrieb am 12.06.2002 (17:51):
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
funktionieren tut das wie folgt:
am lilo Prompt als Option "init=/bin/bash" eingeben
[..]
Sobald Du physikalischen Zugriff auf einen Rechner hast, ist der Rest nicht mehr so schwer.
das ist bekannt
Warum dann die Aufregung?
In "man lilo.conf" steht was über die per-image-Optionen password und restricted, vielleicht ist das etwas, was für Dich in Frage kommt, wenn Du Benutzer hast, die mal etwas rumspielen, aber noch davor zurückschrecken - die Festplatte einfach auszubauen und in einen anderen Rechner einzubauen und zu mounten, - mit Knoppix, SuSE Rettungssystem o.ä. zu booten - ...
genau das beschreibt die Situation, wobei die Rechner gut weggeschlossen sind (nur Taste, Mouse, Moni, Drucker, Scanner physikalisch erreichbar)
BIOS richtig konfigurieren (Boot Device: C only & Passwort setzen)
Pack Deine wirklich geheimen Daten auf ein verschlüsseltes Dateisystem. Schließ den Server gut weg. Sei in gesundem Rahmen paranoid ;-)
mir geht es in dem Zusammenhang um frei zugängliche PC's und nicht um Server
Da hilft dir auch ein verschluesseltes Dateisystem. Marius
Hallo, Am Mittwoch, 12. Juni 2002 17:51 schrieb Andre Fischer:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
funktionieren tut das wie folgt:
[...]
simpel und funktioniert - ich bin erschüttert!
Die hohe Kunst ist nicht, in einen Rechner einzudringen,
sondern ihn so wieder zu verlassen, daß der eigentliche
Benutzer nichts merkt.
Das gilt betriebssystemunabhängig schon fürs
BIOS-Paßwort, das Du löschen kannst, indem Du die
Batterie rausnimmst.
Gruß
Bertram
--
Bertram Scharpf
* Bertram Scharpf
Das gilt betriebssystemunabhängig schon fürs BIOS-Paßwort, das Du löschen kannst, indem Du die Batterie rausnimmst.
Ja, vor allem bei den eingelöteten. *g* cu flo, SCNR! -- One item could not be deleted because it was missing. -- Mac System 7.0b1 error message
Am Donnerstag, 13. Juni 2002 19:15 schrieb Florian Gross:
* Bertram Scharpf
textete am 13.06.02: Das gilt betriebssystemunabhängig schon fürs BIOS-Paßwort, das Du löschen kannst, indem Du die Batterie rausnimmst.
Ja, vor allem bei den eingelöteten. *g*
Auf vielen Boards gibt es einen Jumper zum löschen des CMOS - schließen, 30sec warten, das System ist wieder "willig" und wenn es keinen gibt -- die "brutale" Methode -- CMOS-Batterie/Akku kurzschließen -- dann wie oben 30sec .... Security!? - null Chance ;) MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
* Mirko Richter
Am Donnerstag, 13. Juni 2002 19:15 schrieb Florian Gross:
* Bertram Scharpf
textete am 13.06.02: Das gilt betriebssystemunabhängig schon fürs BIOS-Paßwort, das Du löschen kannst, indem Du die Batterie rausnimmst.
Ja, vor allem bei den eingelöteten. *g*
Auf vielen Boards gibt es einen Jumper zum löschen des CMOS - schließen, 30sec warten, das System ist wieder "willig"
und wenn es keinen gibt -- die "brutale" Methode -- CMOS-Batterie/Akku kurzschließen -- dann wie oben 30sec ....
Security!? - null Chance ;)
Ich weiß. Bei einem öffentlich zugänglichen Rechner ist das aber schon _sehr_ auffällig. Und in den Büros kommt man meist eh leicht an die Passwörter ran. flo -- Die elche werden auch immer verüückter hier, seitdem sie bei Ikea keine Arbeitsverträge mehr bekommen. [WoKo in dag°]
Hi,
From: Mirko Richter [mailto:m.richter@ngi-box.de]
und wenn es keinen gibt -- die "brutale" Methode -- CMOS-Batterie/Akku kurzschließen -- dann wie oben 30sec ....
wegen des niedrigeren Innenwiderstandes Akkus niemals kurzschliesen! was bei den normalen Batterien gerade noch zu verantworten ist. kann bei Akkus leicht in einem Versuch zu schweißen aussarten :-) cia Micha
Hallo!
"Michael Temeschinko"
wegen des niedrigeren Innenwiderstandes Akkus niemals kurzschliesen!
was bei den normalen Batterien gerade noch zu verantworten ist. kann bei Akkus leicht in einem Versuch zu schweißen aussarten :-)
Na - nun lass uns doch einmal eine kleine Praxiseinführung ins Schweissen machen. Das sind schöne Erfahrungen, die man ruhig haben sollte. (Es stinkt so schön, wenn selbst Teile der Leiterplatte richtig verschmoren und das Lötzinn sich dann nur noch in der Luft befindet und so ...) Gewisse Erfahrungen sind doch immer was feines ... (Ich habe dieses aber nicht mit einem Motherboard gemacht sondern mein selbstgebautes Netzteil wurde von mir etwas zerblastert ... Das war ein Teil, das bei 12 V auch einige Ampere ab konnte ... Und das was meine Lektion: "Warum baue ich eine Sicherung nicht nur auf der 220 V Seite sondern auch auf der 12V Seite?" Lässt sich schön ausrechnen, was eine träge Sicherung temporär erlaubt, ehe denn dann die Sicherung fliegt. Der Trafoblock hatte es aber zum Glück überlebt :) ) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Hi, On Mit, 12 Jun 2002, Andre Fischer sent incredible lines:
ich hab grad mitbekommen, wie jeder User daß Root-Passwort ändern kann. Bin mir nun nicht sicher ob das ein Feature oder ein Bug ist.
Normal. [...]
simpel und funktioniert - ich bin erschüttert!
Nein, erschüttert brauchst du nicht sein. Das "Problem" zeigt eigentlich nur das nur eine Kombination aus Hardware und Software Sicherheit bietet. Entgegen der Aussagen der anderen Mails kann man aber auch bei physikalischen Zugriff das System durchaus "sicher" machen. Das setzt dann voraus das du einen Controller verwendest der auf den Festplatten eine Hardwareverschlüsslung durchführt, dann bringst auch nichts mehr die Festplatte auszubauen. Allerdings ist das auch nur bedingt hilfreich da man dadurch natürlich die Performance reduziert. Tendenziell verfährt man in grossen Unternehmen so das die Rechner in speziellen Räumlichkeiten (z.B. grossen Tresoren stehen), man nur über spezielle Adminnetworks die wiederum nur über speziell gesicherte Konsolen zugänglich sind die Rechner administriert. Physikalischen Zugang zu den Systemen habe meistens nur die Techniker die entsprechende Komponenten tauschen müssen (da kann man dann ganz elegant die Rechner vom Admin Raum ausschalten (siehe SP attached bei RS/6000 z.B.)). Allerdings gibt es selbst in solchen Umgebungen keine definitive Sicherheit, es hängt immer noch viel davon ab wie integer die Mitarbeiter sind (was bringt die grösste Sicherheit wenn ein Admin auf alle Resourcen freien Zugriff hat und die Sicherheitslöcher selber reinbauen kann). Zusammengefasst lässt sich nur eine hinreichend hohe Sicherheit erreichen wenn das "Gesamtkonzept" stimmt. ... may the Tux be with you! =Thomas= -- Thomas Bendler \\:// ml@bendler-net.de Billwiese 22 (o -) http://www.bendler-net.de/ 21033 Hamburg ---ooO-(_)-Ooo--- tel.: 0 177 - 277 37 61 Germany Linux, enjoy the ride ...!
* Thomas Bendler schrieb am 13.Jun.2002:
Nein, erschüttert brauchst du nicht sein. Das "Problem" zeigt eigentlich nur das nur eine Kombination aus Hardware und Software Sicherheit bietet. Entgegen der Aussagen der anderen Mails kann man aber auch bei physikalischen Zugriff das System durchaus "sicher" machen. Das setzt dann voraus das du einen Controller verwendest der auf den Festplatten eine Hardwareverschlüsslung durchführt, dann bringst auch nichts mehr die Festplatte auszubauen. Allerdings ist
Das schützt aber nur vor Datenklau, nicht vor Datenzerstörung. Sicherlich ist in den meisten Fällen der Datenklau das Schlimmere, aber Zerstörung von Daten kann auch sehr übel sein. Sehr beliebt etwa, wenn jemand seine Doktorarbeit schreibt. Es ist erschreckend, wieviele mißgünstige Menschen es gibt, die aus reiner Boshaftigkeit versuchen, das Projekt zum Scheitern zu bringen. Eine zerstörte Festplatte ist da ganz schön Hilfreich. Eine Verschlüsselung bringt dem Doktoranden da gar nichts.
das auch nur bedingt hilfreich da man dadurch natürlich die Performance reduziert. Tendenziell verfährt man in grossen Unternehmen so das die Rechner in speziellen Räumlichkeiten (z.B. grossen Tresoren stehen), man nur über spezielle Adminnetworks die wiederum nur über speziell gesicherte Konsolen zugänglich sind die Rechner administriert. Physikalischen Zugang zu den Systemen habe meistens nur die Techniker die entsprechende Komponenten tauschen müssen (da kann man dann ganz elegant die Rechner vom Admin Raum ausschalten (siehe SP attached bei RS/6000 z.B.)). Allerdings gibt es selbst in solchen Umgebungen keine definitive Sicherheit, es hängt immer noch viel davon ab wie integer die Mitarbeiter sind (was bringt die grösste Sicherheit wenn ein Admin auf alle Resourcen freien Zugriff hat und die Sicherheitslöcher selber reinbauen kann). Zusammengefasst lässt sich nur eine hinreichend hohe Sicherheit erreichen wenn das "Gesamtkonzept" stimmt.
ACK Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
Am Freitag, 14. Juni 2002 07:15 schrieb Bernd Brodesser:
* Thomas Bendler schrieb am 13.Jun.2002:
machen. Das setzt dann voraus das du einen Controller verwendest der auf den Festplatten eine Hardwareverschlüsslung durchführt, dann bringst auch nichts mehr die Festplatte auszubauen. Allerdings ist
Das schützt aber nur vor Datenklau, nicht vor Datenzerstörung.
Naja, gegen Zerstörung hilft aber wirklich nur noch die physikalische Trennung von potentiellen Angreifern und Rechner. Sobald jemand an den Rechner rankommt, kann er ihn (unabhängig von den EDV-Kenntnissen) zerstören. Ne hübsche klebrige Cola in den laufenden Rechner kippen, ein Vorschlaghammer, ... Wer soweit geht die Festplatte auszubauen, in einen anderen Rechner zu verfrachten und bei gescheiterten crackversuchen die Daten zerstört, scheint ja nicht darauf bedacht zu sein, seinen Einbruch zu vertuschen.
Sicherlich ist in den meisten Fällen der Datenklau das Schlimmere, aber Zerstörung von Daten kann auch sehr übel sein. Sehr beliebt
Es lebe das Backup ;-) -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Andre Fischer wrote:
funktionieren tut das wie folgt: ... simpel und funktioniert - ich bin erschüttert!
Und du kannst dir gar nicht vorstellen, wie froh ich vor 5(?) Jahren war als ich mein root-Passwort nicht mehr wusste... Sicherheit ist immer eine Frage der Policy, d.h. eine Ziel-Definition. Ein sicheres System kann keins sein, bei dem du eine CD nimmst und im Installer immer auf "Weiter" klickst. Du musst dich dazu hinsetzen, und ueberlegen, was dir schuetzenswert erscheint. Das schreibst du auf. Dann ueberlegst du wie du das schuetzen kannst. Das setzt du um. Dann testest du dein Setup. Dann setzt man sich meistens wieder hin und schreibt erneut auf. Wenn man das oft genug gemacht hast, hast du vielleicht ein sicheres System. Peter
participants (35)
-
Al Bogner
-
Alex Klein
-
Andre Fischer
-
Andreas Meyer
-
Antje M. Bendrich
-
B.Brodesser@t-online.de
-
Bertram Scharpf
-
Conrad Gliem
-
Dennis Bendowski
-
Dennis Stosberg
-
Erhard Schwenk
-
Florian Gross
-
Georg Golombek
-
Hartmut Meyer
-
Henning Harms
-
Henning Hucke
-
Jörg Lippmann
-
Konrad Neitzel
-
Manfred Tremmel
-
Marius Brehler
-
Markus Kolb
-
Martin Knipper
-
Martin Neuditschko
-
Martin Schmitz
-
Michael Raab
-
Michael Rolli
-
Michael Temeschinko
-
Mirko Richter
-
Patrick C.
-
patrick_hess@t-online.de
-
Peter Wiersig
-
Thomas Bendler
-
Thomas Templin
-
Ulli Kuhnle
-
Volker Kroll