Am Montag, 17. Juni 2002 21:47 schrieb Manfred Tremmel:
Am Montag, 17. Juni 2002 18:50 schrieb Patrick C.:
die diskussionen hier sind ja schön und gut. aber wie kann man diese extreme sicherheitslücke schliessen?
Fassen wir doch mal kurz zusammen:
1. Bios so einstellen, dass es ausschliesslich von der Startplatte bootet.
2. Bios-Passwort vergeben (was je nach Bios zwar nicht unbedingt sicher sein muß, aber den Gelegenheitshacker vielleicht doch von weiteren Attacken abhält, selbst im Internet recherchieren, wie es mit dem Passwortern für das eingesetzte BIOS aussieht, kann nicht schaden, eventuell Up- oder Downgraden, wenns mit Vorgänger- oder Nachfolgerversionen des BIOS besser aussieht und diese nicht andere Probleme aufwerfen). Sicheres Passwort verwenden und BIOS-Passwort nicht auf den Rechner kleben ;-)
;-))
3. /etc/lilo.conf Eintrag 'prompt' rausschmeissen, restricted rein und dann den delay noch auf 0, bei nem Server wirds ja wohl nicht so viel Konfigurationen geben (nach nem Kernelupdate sollte man vor dem ersten Start vielleicht was anderes reinnehmen).
4. Servergehäuse/Boards bieten oft die Möglichkeit, ein öffnen des Gehäuses zu erkennen, mit LM-Sensors kann man sich sowas gleich zumailen lassen (genauso wie Lüfterausfälle, Spannungseinbrüche usw.), das kann eventuell was helfen, ein Schloß am Gehäuse natürlich auch.
5. Da 1. ohne 2. keine Sicherheit garantiert und 3. aushebelt, gilt wie schon öfters erwähnt, die physikalische Annäherung an den Server so schwierig wie möglich machen. Unnötige Lauwerke eventuell ausbaun, ein Printserver kommt sicher ganz gut ohne Floppy und CD- ROM aus, Updates können übers Netz eingespielt werden und booten soll er eh nur von der Platte.
Für Server kein Problem, die stehen in abgeschlossenen Räumen (zumindest solllten sie das).
6. Auch wenns dann vielleicht schon zu spät ist, ne Überwachungskammera mit Bewegungssensor kann abschrecken, langwieriges Hantieren eventuell verhindern und Täter dingfest machen helfen.
Nur er sprach in einer seiner Mails von Desktops/Workstations, da ist das nicht so einfach bzw. nich alles so Durchzuführen. Man kann solche Workstations auch direkt aus dem Netz booten, da hat man dann nicht nur überhauptkeinen bootprompt mehr, sondern auch noch eine ganze Reihe anderer Vorteile wie: 1. Kosteneinsparung, warum 100 Harddisks für 100 Rechner wenn es auch eine tut 2. einfachere Verwaltung/Installation/Wartung, 3. volle Multimediatauglichkeit(im Gegensatz zu den "allseits" beliebten X-Terminals), 4. "unkaputtbarer" Rechner - einfach mal Ausschalten macht der Kiste nix (mit Ausnahme der Daten des Nutzers, wenn er vergessen hat sich abzumelden) -- _besonders_wichtig_ für Schulen, Uni und andere "Bildungskisten" 5. einen entsprechend programmierten BootROM vorausgesetzt, kann von keinem anderen BootDevice mehr gebootet werden. Um das zu umgehen, muß der "Angreifer" die Netzwerkkarte / den BootROM ausbauen und vom Floppy/CD etc. zu booten, bloß was hat er dann davon .... etc.etc. etc. ... MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | + Netzwerke, Kommunikation, Computer, Service | | + Diskless Linux-Systeme | | + EPROM + FLASHROM Programmierung | |~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~| | Mirko Richter | | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+