On Sonntag, November 04, 2001 at 18:58:38, Sven Giersberg wrote:

...

ist es möglich auf einem 486 SLX Laptop mit Diskettenlaufwerk Linux zu installiern ? Also ohne irgent was Grafisches oder so. Geht auch nicht

da die

...

HD nur 80 MB hat. Also richtig was zum knobeln. Ich habe Suse 7.2 und 7.3 aber ebend nur auf CD. Ach ja der Laptop hat ein schwarz/weiß Bild. Gibt es eine Linux Version auf Diskette ?

HI Sven Es gibt eine Suse Live-Version, diese immer auf die Cd zugreift und minimal speicherplatz auf der Hd verlangt, natürlich nur wenn in deinem Rechner nen Cdrom eingebaut ist;-). Wenn du den Rechner zum Beispiel als router verwenden willst (oder ähnliches) dann schau mal unter folgendem Link nach : denn unter diesem link steht ne anleitung für nur mit diskette aber speziell für router http://www.fli4l.de/german/fli4l.htm mfg

Am Montag, 5. November 2001 23:34 schrieb Andreas Meyer:

Am Mon, 05 Nov 2001 17:34:16 +0100 schrieb Karl Brandt :

...

...

Gibt es eine Linux Version auf Diskette ?

Sven

Schau mal bei http:\www.pro-linux vorbei. dort findest Du einige Diskettenversionen. Z.B. HAL91 und viele andere.

oh Gott! Da kommt mir das kalte Grausen. Mit hal91 gebootet ohne Kennwort und Passwortabfrage ... drin: mount -t ext2 /dev/hda1 /mnt cd /mnt rm vmlinuz.alt

Wie ist sowas nur möglich? Was ist mit Sicherheit auf Filesystemebene oder so? Hilft denn gegen solche Disketten wirklich nur, die Server in einen Tresor einzuschließen? Hallo Andreas Du musst nach dem ersten Aufruf die Passwörter mit passwd setzen. CU Thorsten -- "A witty saying proves nothing." -- Voltaire

Hallo, Am Dienstag, 6. November 2001 um 07:42 schrieb Andreas Meyer,

Aber zuerst kann ja mal jeder, der eine solche Diskette im Hemd stecken hat, einen Rechner booten und kommt ohne jegliche Barriere in´s System.

Ähh, das ist Unix .... Sobald Du physikalischen Zugriff auf einen Rechner hast kannst Du mit der erwähnten Diskette booten, mit Tausend anderen Möglichkeiten booten, Du hast Zugriff auf alle Daten, in dem Du die Festplatten mountest. Das hat nix mit dieser speziellen Version zu tun. Lösung: Krypto Filesysteme und Server in einen abgeschlossen Raum. cu stonki

Hallo Heinz, hallo Andreas, hallo Leute, Am Dienstag, 6. November 2001 08:21 schrieb Heinz W. Pahlke:

On 06-Nov-2001 Andreas Meyer wrote:

...

Aber zuerst kann ja mal jeder, der eine solche Diskette im Hemd stecken hat, einen Rechner booten und kommt ohne jegliche Barriere in´s System.

Logisch.

Wer physikalisch Zugang zu einem Rechner hat, kann immer auf ihm machen, was er will. Nur der Aufwand ist ggfs. unterschiedlich gross. Mit Disketten-Laufwerk und der "richtigen" Boot-Reihenfolge ist es am einfachsten, ohne Disketten-Laufwerk und mit "verkehrter" Boot-Reihenfolge bei passwordgeschuetztem Bios am aufwendigsten.

Als Tip: Bootreihenfolge im Bios so einstellen, dass 1) von Festplatte und evtl. 2) von CD gebootet wird. Bios-Passwort ist IMHO selbstverständlich. Falls Du das Diskettenlaufwerk in der Bootsequenz vermisst, das steht in meiner lilo.conf: other = /dev/fd0 label = Boot_Disk password=bootpw unsafe Das unsafe bewirkt nur, dass er beim lilo-Aufruf keine Diskette im Laufwerk erwartet. Dann kannst Du im lilo den Menüpunkt "Boot_Disk" auswählen und nach Eingabe eines Passworts von der Diskette booten (klappt mit jeder bootfähigen Diskette, getestet mit Linux- und DOS-Bootdisk) Ich habe es bisher leider noch nicht geschafft, auch das CD-ROM ins lilo-Menü aufzunehmen. Es scheitert an der "Disk geometry" :-( Du solltest auch für alle Linux-Einträge ("Linux", "suse" und evtl. eigene Einträge) die "restricted"-Option und ein Passwort festlegen. Wenn dann irgendjemand eine Boot-Option angibt, kommt eine nette Passwortabfrage. Dann kann man nicht von lilo aus z. B. direkt die Bash aufrufen (mit init=/bin/bash IIRC), was IMHO unschön ist ;-)

Weitgehend sicher ist er nur, wenn du ihn als Stand-alone-Rechner betreibst und von allen Seiten mit einer fuenf Meter dicken Betonwand umgibst. Okay, er nuetzt dir dann vermutlich auch nicht mehr viel, aber er ist dafuer auch nahezu unangreifbar ;-)

<g> Wenn Du noch Strom- und Netzwerkkabel mit einbetonierst, dann kannst Du immer noch auf den Server zugreifen. Du solltest nur hoffen, dass nicht irgendwo ein Wackelkontakt ist ;-) Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux is like a wigwam: no gates, no windows, but an apache inside.

Hallo Christian, * Christian Boltz schrieb am 06.Nov.2001:

Als Tip: Bootreihenfolge im Bios so einstellen, dass 1) von Festplatte und evtl. 2) von CD gebootet wird. Bios-Passwort ist IMHO selbstverständlich.

Falls Du das Diskettenlaufwerk in der Bootsequenz vermisst, das steht in meiner lilo.conf:

other = /dev/fd0 label = Boot_Disk password=bootpw unsafe

Das unsafe bewirkt nur, dass er beim lilo-Aufruf keine Diskette im Laufwerk erwartet.

Dann kannst Du im lilo den Menüpunkt "Boot_Disk" auswählen und nach Eingabe eines Passworts von der Diskette booten (klappt mit jeder bootfähigen Diskette, getestet mit Linux- und DOS-Bootdisk)

Ich habe es bisher leider noch nicht geschafft, auch das CD-ROM ins lilo-Menü aufzunehmen. Es scheitert an der "Disk geometry" :-(

Du solltest auch für alle Linux-Einträge ("Linux", "suse" und evtl. eigene Einträge) die "restricted"-Option und ein Passwort festlegen. Wenn dann irgendjemand eine Boot-Option angibt, kommt eine nette Passwortabfrage. Dann kann man nicht von lilo aus z. B. direkt die Bash aufrufen (mit init=/bin/bash IIRC), was IMHO unschön ist ;-)

Gut und schön, aber das nützt doch alles nichts, wenn der Angreifer die Festplatte ausbaut und bei sich selbst einbaut. Dann kommt er an alle Daten heran. Masterpaßwörter zum BIOS gibt es allerhalben und gegen den Vorschlaghammer hilft das alles auch nichts. Bernd -- Was ist quoten? Quoten ist das Zitieren aus einer mail, der man antwortet. Und wie macht man es richtig? Zitate werden mit "> " gekennzeichnet. Nicht mehr als nötig zitieren. Vor den Abschnitten das Zitat, auf das man sich bezieht, mit einer Zeile Abstand oben und unten. |Zufallssignatur 12

November 06, 2001 7:42 AM

Am Tue, 6 Nov 2001 00:37:59 +0100 schrieb Thorsten Körner :

...

...

...

Z.B. HAL91 und viele andere.

[...über HAL91...] Du musst nach dem ersten Aufruf die Passwörter mit passwd setzen.

Aber zuerst kann ja mal jeder, der eine solche Diskette im Hemd stecken hat, einen Rechner booten und kommt ohne jegliche Barriere in´s System.

Wie kürzlich die netten Kollegen: frühmorgens die autoexec.ncf gelöscht und der Server war von Netz...

Bei welchem Betriebssystem kann man nicht von einem Datenträger booten und dann auf Daten zugreifen? Das kann man prinzipiell sogar mit Novell. Einfach SYS neu installieren und schon bist Du drauf und kann Dein (als Beispiel) DATA Volume mounten und drauf zugreifen. -- Gruß Alex

* Andreas Meyer schrieb am 05.Nov.2001:

oh Gott! Da kommt mir das kalte Grausen. Mit hal91 gebootet ohne Kennwort und Passwortabfrage ... drin: mount -t ext2 /dev/hda1 /mnt cd /mnt rm vmlinuz.alt

Wie ist sowas nur möglich? Was ist mit Sicherheit auf Filesystemebene oder so? Hilft denn gegen solche Disketten wirklich nur, die Server in einen Tresor einzuschließen?

Der Server darf dem Angreifer physikalisch nicht zugänglich sein. Das ist richtig. Um ein Filesystem zu zerstören brauchst Du bloß einen dicken Hammer, mit dem Du den Server (Festplatte, Board, ...) bearbeitest, wie will sich eine Software dagegen wehren? Wenn der Angreifer die Festplatte ausbaut, und mit nach Hause nimmt, da kann er den doch alles mit machen, z.B in seinem Rechner einbauen Linux booten und die devicese /dev/hda oder ähnliches direkt auswerten. Man kann es drehen und wenden wie man will, wenn der Angreifer den Server in Händen bekommt, hast Du verloren. Daher den Server immer in einem eigenen Raum stellen. Am Besten Fensterlos und mit Stahltür gesichert, zu dem nur der Sysadmin einen Zutritt hat. Kann natürlich von Fall zu Fall verschieden sein. Als Privatanwender reicht es ja, wenn man sagt, so schnell bricht bei mir keiner ein. Aber spätestens bei einem Unternehmen mit Publikumsverkehr ist ein Serverraum angesagt. Auch bei eins mit meheren Mitarbeiter. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9

Am Montag, 5. November 2001 23:34 schrieb Andreas Meyer:

oh Gott! Da kommt mir das kalte Grausen. Mit hal91 gebootet ohne Kennwort und Passwortabfrage ... drin: mount -t ext2 /dev/hda1 /mnt cd /mnt rm vmlinuz.alt

Wie ist sowas nur möglich? Was ist mit Sicherheit auf Filesystemebene oder so? Hilft denn gegen solche Disketten wirklich nur, die Server in einen Tresor einzuschließen?

Naja, gegen solche Atacken hilft wirklich nur das booten per Wechselmedium (Floppy, CD, Wechselplate, ...) zu unterbinden. Der Schutz im Bios (natürlich passwortgeschützt) ist die eine Sache, wird aber durch diverse im Internet zu erfahrene Masterpasswörter bei den meisten Boards ausgehebelt. Die eigenen Daten kannst Du auch über verschlüsselte Dateisysteme sichern, da hilft dann auch keine Bootdiskette/Diskettenlinux weiter. Für viele Basispartitionen wie /boot dürfte das allerdings kaum möglich sein. Relativ sicher ist es, Floppy und CD-Rom auszubauen (mein Fileserver hat hier weder noch), aber natürlich ist das auch keine 100%ige Sache, ein Gehäuse ist schnell aufgeschraubt, ein Floppy rangehängt. Fakt ist einfach, dass ein Rechner immer angreifbar ist, sobald physikalischer Zugang dazu besteht. Das kann man durch diverse Sachen erschweren, aber verhindern wohl eher nicht (zumindestens nicht auf PC-Hardware). Spätestens dann, wenn jemand die Platten ausbaut und an einen anderen Rechner hängt, ist es vorbei. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de