Root-Schreibrechte durch Kernel-Boot Parameter ??!!
Hi, ich habe folgendes ausprobiert: 1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole 5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!! DAS ist doch nicht normal, oder ? Kann ich es unterbinden, das dem Kernel Boot-Parameter mitgegeben werden ? Ciao Tobias
* Tobias Geis schrieb am 13.Nov.2001:
ich habe folgendes ausprobiert:
1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole
Nein, Du hast gleich eine bash. Das ist nicht die Konsole, fast, aber nicht ganz. Du hast nicht mingetty ausgeführt und bestimmte Sachen wurden evtl. nicht gesetzt.
5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!!
DAS ist doch nicht normal, oder ?
Doch das ist normal.
Kann ich es unterbinden, das dem Kernel Boot-Parameter mitgegeben werden ?
Warum willst Du das? Wer immer physikalischen Zugang zum Server hat, kann da alles machen. Wie oft soll das noch gesagt werden. Wenn Du es vermeiden willst, dann mußt Du den Server in einem eigenen Serverraum stellen. Was nützt es zu verhindern Boot-Parameter mitzugeben. Der Angreifer schiebt dann eine Boot-Disk oder Boot-CD hinein, oder baut das Laufwerk aus, oder nimmt den dicken Hammer. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Hi Bernd, Bernd Brodesser wrote:
* Tobias Geis schrieb am 13.Nov.2001:
ich habe folgendes ausprobiert:
1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole
Nein, Du hast gleich eine bash. Das ist nicht die Konsole, fast, aber nicht ganz. Du hast nicht mingetty ausgeführt und bestimmte Sachen wurden evtl. nicht gesetzt.
Hast recht, hab nen falschen Namen benutzt.
5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!!
DAS ist doch nicht normal, oder ?
Doch das ist normal.
Aber warum können die Distris nich in der Lilo.conf einfach password=<rootpasswort> und restricted einfügen ? Das rootpasswort wird doch bei der Einrichtung des Systems angelegt.
Kann ich es unterbinden, das dem Kernel Boot-Parameter mitgegeben werden ?
Warum willst Du das? Wer immer physikalischen Zugang zum Server hat, kann da alles machen. Wie oft soll das noch gesagt werden. Wenn Du es vermeiden willst, dann mußt Du den Server in einem eigenen Serverraum stellen. Was nützt es zu verhindern Boot-Parameter mitzugeben. Der Angreifer schiebt dann eine Boot-Disk oder Boot-CD hinein, oder baut das Laufwerk aus, oder nimmt den dicken Hammer.
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden. Klar weiß ich das man einen Server am Besten in einen Safe steckt (und den Schlüssel verschkluckt ;-) ) Ciao Tobias
* Tobias Geis schrieb am 13.Nov.2001:
Bernd Brodesser wrote:
* Tobias Geis schrieb am 13.Nov.2001:
DAS ist doch nicht normal, oder ?
Doch das ist normal.
Aber warum können die Distris nich in der Lilo.conf einfach password=<rootpasswort> und restricted einfügen ? Das rootpasswort wird doch bei der Einrichtung des Systems angelegt.
Weil das nichts bringt. Braucht man nur eine CD dabei zu haben und schon interessiert nicht mehr, was in LILO steht.
Warum willst Du das? Wer immer physikalischen Zugang zum Server hat, kann da alles machen. Wie oft soll das noch gesagt werden. Wenn Du es vermeiden willst, dann mußt Du den Server in einem eigenen Serverraum stellen. Was nützt es zu verhindern Boot-Parameter mitzugeben. Der Angreifer schiebt dann eine Boot-Disk oder Boot-CD hinein, oder baut das Laufwerk aus, oder nimmt den dicken Hammer.
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden.
Wird man nicht vermeiden können. Wenn die Schüler physikalischen Zugang haben ist es zu spät. Gerade Schüler, die sind besonders kreativ.
Klar weiß ich das man einen Server am Besten in einen Safe steckt (und den Schlüssel verschkluckt ;-) )
Nein, einen eigenen Raum. Sinnig finde ich ein kleines Netzwerk. Der Server steht in einem eigenen Raum, der Schüler-PC ist Diskless, und hohlt alles über das Netzwerk. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
On 14-Nov-01 Bernd Brodesser wrote:
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden.
Wird man nicht vermeiden können. Wenn die Schüler physikalischen Zugang haben ist es zu spät. Gerade Schüler, die sind besonders kreativ.
Soweit ACK. Ein bißchen was kann man aber tun. Für den Linux-Teil dieser Geschichte bietet sich eigentlich eine X-Terminal-Konstruktion an. Da liegt auf den Clients keine Software, und den Server kann man wegschließen - und nebenbei kann man bei der Client-Hardware sparen. Dank Cygwin (www.cygwin.com) kann man sogar soweit gehen, auf den Clients ganz auf Linux zu verzichten und nur XFree86 unter Win zu fahren. Ist zwar nicht rasend schnell, funktioniert aber - und reduziert den benötigten Plattenplatz um eine Partition. Oder man sichert die Windows-Partitionen von den Linux-Partitionen aus mittels dd auf den Server weg, so daß man sie bei Bedarf wiederherstellen kann. Das Linux auf den Clients kann dann sehr klein sein (Kernel + minimales Netzwerk + XFree sollten reichen) und ist bei bedarf schnell wieder draufkopiert. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
Hallo Bernd, hallo Tobias, hallo Leute, Am Mittwoch, 14. November 2001 01:03 schrieb Bernd Brodesser:
* Tobias Geis schrieb am 13.Nov.2001:
Aber warum können die Distris nich in der Lilo.conf einfach password=<rootpasswort> und restricted einfügen ? Das rootpasswort wird doch bei der Einrichtung des Systems angelegt.
Weil das nichts bringt. Braucht man nur eine CD dabei zu haben und schon interessiert nicht mehr, was in LILO steht.
Moment... Du vergisst Bootreihenfolge und BIOS-Passwort. Bei mir bringt die CD oder Diskette nichts - es lebe der Schraubenzieher ;-) Ich weiß, man kann es aushebeln, aber es ist ein (IMHO recht hohes) Hindernis. Ich habe die Bootreihenfolge auf 1. Festplatte 2. CD stehen, Diskette steht nicht in der Bootsequenz wg. lilo-Eintrag. In Verbindung mit einem guten BIOS-Passwort sollte das schon das Booten von Diskette oder CD verhindern. Dann im lilo alles mit Password und restricted absicherern, zusätzlich other = /dev/fd0 label = Boot_Disk password=sicheres_Passwort_zum_Booten_von_Diskette unsafe in die lilo.conf, dann kann man sogar von Lilo aus von Diskette booten (natürlich passwortgeschützt). [ Einen Lilo-Eintrag für Booten von CD habe ich noch nicht hinbekommen. Ich habe vor einiger Zeit - ohne Erfolg - schon mal auf der Liste gefragt. Hat inzwischen irgendjemand das CD-Rom im Lilo stehen? Wenn ja, bitte den Ausschnitt der lilo.conf mailen. }
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden.
Wird man nicht vermeiden können. Wenn die Schüler physikalischen Zugang haben ist es zu spät. Gerade Schüler, die sind besonders kreativ.
*g* Deswegen auch mein Tip - ich bin auch noch Schüler im weitesten Sinn ;-) (genaugenommen: eine Vorstufe zur Meisterausbildung als Winzer) Ach ja: Die Schüler sollten keinen Zugriff auf fdisk oder ähnliche Programme haben (gilt auch unter dem 4-Pfund-Windows ;-) Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux is like a wigwam: no gates, no windows, but an apache inside.
Hallo Christian, * Christian Boltz schrieb am 14.Nov.2001:
Am Mittwoch, 14. November 2001 01:03 schrieb Bernd Brodesser:
Weil das nichts bringt. Braucht man nur eine CD dabei zu haben und schon interessiert nicht mehr, was in LILO steht.
Moment... Du vergisst Bootreihenfolge und BIOS-Passwort.
Master-Passwörter gibt es allenhalben.
Bei mir bringt die CD oder Diskette nichts - es lebe der Schraubenzieher ;-)
Doch, die bringen was. Es lebe der Schraubenzieher. ;)
Ich weiß, man kann es aushebeln, aber es ist ein (IMHO recht hohes) Hindernis.
Nicht hoch genung.
Ich habe die Bootreihenfolge auf 1. Festplatte 2. CD stehen, Diskette steht nicht in der Bootsequenz wg. lilo-Eintrag. In Verbindung mit einem guten BIOS-Passwort sollte das schon das Booten von Diskette oder CD verhindern.
Es gibt kein gutest BIOS-Passwort wegen Masterpaßwort. Und was ist mit dem dicken Hammer? Dagegen hilft keine Software.
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden.
Wird man nicht vermeiden können. Wenn die Schüler physikalischen Zugang haben ist es zu spät. Gerade Schüler, die sind besonders kreativ.
*g* Deswegen auch mein Tip - ich bin auch noch Schüler im weitesten Sinn ;-) (genaugenommen: eine Vorstufe zur Meisterausbildung als Winzer)
Ach ja: Die Schüler sollten keinen Zugriff auf fdisk oder ähnliche Programme haben (gilt auch unter dem 4-Pfund-Windows ;-)
Schüler sollen keinen Zugang zum Server haben. Bernd -- Bitte die Etikette beachten: http://home.t-online.de/~f.walle/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
Tobias Geis wrote:
Aber warum können die Distris nich in der Lilo.conf einfach password=<rootpasswort> und restricted einfügen ? Das rootpasswort wird doch bei der Einrichtung des Systems angelegt.
Dafür das root-Paßwort zu nehmen halte ich für keine gute Idee. Wenn sich dann mal ein Admin die lilo.conf ansieht, während zufällig jemand hinter ihm steht und zusieht, oder gar etwas unbedacht allen Benutzern Leserecht an dieser Datei gibt ("Warum sollen sich die Schüler nicht ansehen können, wie man lilo richtig konfiguriert?"), dann wäre damit nicht nur das Boot-, sondern auch das root-Paßwort "verloren".
Es geht hier in diesem Fall nicht um einen Server, sondern um Rechner in einer Schulklasse, die mit Windof 2000 UND Linux ausgestattet sind. Nun sollm es aber nicht möglich sein, Linux platt zu machen oder Schindluder damit getrieben werden.
Mit der Kombination aus BIOS-Paßwort[1], Boot-Reihenfolge und Lilo-Paßwort läßt sich eine gewisse zusätzliche Sicherheit erreichen, und ich würde in dieser Umgebung auch Gebrauch davon machen. Aber dieser Schutz hat relativ enge Grenzen. Gegen jemanden, der ausreichend lange und unbeobachtet physikalischen Zugang zu dem Rechner hat, hilft das nicht. (Ein mit Vorhängeschloß o.ä. gesichertes Gehäuse könnte die Sicherheit noch ein wenig erhöhen.) Und natürlich hilft das alles nicht, falls es in einem der beiden Systeme Sicherheitslücken gibt, durch die ein Benutzer root-Rechte o.ä. erlangen kann. Eilert Footnotes: [1] Solange es für das BIOS kein Master-Paßwort gibt... -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
On 13 Nov 2001, at 14:23, Tobias Geis wrote:
Hi,
ich habe folgendes ausprobiert:
1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole 5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!!
DAS ist doch nicht normal, oder ?
Doch.
Kann ich es unterbinden, das dem Kernel Boot-Parameter mitgegeben werden ?
man lilo.conf /password /restricted Andreas
Hi Andreas, Andreas Kyek wrote:
On 13 Nov 2001, at 14:23, Tobias Geis wrote:
Hi,
ich habe folgendes ausprobiert:
1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole 5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!!
DAS ist doch nicht normal, oder ?
Doch.
Und Warum ?? Ich sehe keinen Grund ! Oder warum ist password und restricted nicht standardmäßig enthalten ? Bei SuSE ist es jedenfalls leider nicht so. Ciao Tobias
On Tue, Nov 13, 2001 at 04:14:35PM +0100, Tobias Geis wrote:
Und Warum ?? Ich sehe keinen Grund ! Oder warum ist password und restricted nicht standardmäßig enthalten ?
Sicherheit gibt es nicht "out-of-the-box". Sicherheit erhaelt man durch eine Policy, deren Umsetzung und deren Kontrolle. Welches Passwort wuerdest du denn vorschlagen? Es gibt genug Anleitungen im Net an denen sich jemand halten kann, wenn er ein sicheres System haben will. Peter
On Tuesday, 13. November 2001 16:14, Tobias Geis wrote:
Andreas Kyek wrote:
On 13 Nov 2001, at 14:23, Tobias Geis wrote:
Hi,
ich habe folgendes ausprobiert:
1. gebootet bis lilo da ist 2. Hinter Kernelnamen z.B. linux eingegeben: init=/bin/bash 3. Kernel wurde geladen 4. War gleich inder Konsole 5. whoami gemacht, ich BIN NUN ROOT !! 6. mount -o rw remount / 7. SCHREIBRECHTE auf alles, ohne ein Passwort eingeben zu müssen !!!
DAS ist doch nicht normal, oder ?
Doch.
Und Warum ?? Ich sehe keinen Grund ! Oder warum ist password und restricted nicht standardmäßig enthalten ? Bei SuSE ist es jedenfalls leider nicht so.
Ein böswilliger Anwender kann mit einer RettungsCD genau den gleichen Effekt erzielen. Die einzig sichere Aufbewahrung von Daten ist ein verschlüsseltes Dateisystem. Um einen Rechner sicher zu machen (damit sich der Aufwand für ein Bootpassword lohnt), ist ihn in den Tresor zu stellen. Alles andere ist nicht mehr als eine Hürde für einen DAU. Gruß Peter
Am Dienstag, 13. November 2001 16:37 schrieb Peter Bossy:
Ein böswilliger Anwender kann mit einer RettungsCD genau den gleichen Effekt erzielen. Die einzig sichere Aufbewahrung von Daten ist ein verschlüsseltes Dateisystem.
Vorsicht, Du kannst damit verhindern, dass jemand dei Daten lesen kann, nicht verhindern kannst Du, dass er die verschlüsselte Partition einfach platt macht. Die Daten sind also Sicher vor Spionage, nicht vor Sabotage!
Um einen Rechner sicher zu machen (damit sich der Aufwand für ein Bootpassword lohnt), ist ihn in den Tresor zu stellen. Alles andere ist nicht mehr als eine Hürde für einen DAU.
Welcher Tresor ist denn sicher? Aber es gibt zumindestens eine Möglichkeit, wenn nur eine Konfiguration zu booten ist, einfach dafür sorgen, dass kein 'prompt' in der /etc/lilo.conf steht und der 'timeout=0' gesetzt wurde. Den Hinweis mit dem lilo-Passwort gabs ja aech schon. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
On Tue, 13 Nov 2001, Manfred Tremmel wrote: [Rechnersicherheit -> in Tresor]
Welcher Tresor ist denn sicher?
See sigs. -dnh -- They ARE right, you CAN secure an IIS against intrusion. First you turn off all the services and other hooks that lets it do all the things they brag on that makes IIS "better", then you imbed an axe in the machine, then you unplug it, encase it in glass, put it in a concrete vault, cover that with urethane, and toss the whole thing into the depest part of the ocean, cover it with 150 meters of silt, create a concrete sarcophogus over the silt pile, and liberally seed the area with spent nuclear fuel to kill anything that gets too close to it. No problem. -- random in asr The only truly safe "embedded system" is the system that has an axe embedded in it... -- Tanuki
On Wednesday, 14. November 2001 06:35, David Haller wrote:
They ARE right, you CAN secure an IIS against intrusion. First you turn off all the services and other hooks that lets it do all the things they brag on that makes IIS "better", then you imbed an axe in the machine, then you unplug it, encase it in glass, put it in a concrete vault, cover that with urethane, and toss the whole thing into the depest part of the ocean, cover it with 150 meters of silt, create a concrete sarcophogus over the silt pile, and liberally seed the area with spent nuclear fuel to kill anything that gets too close to it. No problem.
Und dann kommt Scotty und beamt den Rechner aus dem Behältnis. Und schon ist die Sicherheit wieder zum Teufel.... Gruß Peter
participants (10)
-
Andreas Kyek
-
B.Brodesser@t-online.de
-
Christian Boltz
-
David Haller
-
Eilert Brinkmann
-
Erhard Schwenk
-
Manfred Tremmel
-
Peter Bossy
-
Peter Wiersig
-
Tobias Geis