PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux und Sicherheit



Seiten : [1] 2

Cyberrax
11.05.04, 01:23
Hallo Leute,

vor ab will ich noch was los werden. Ich finde das Board hier wirklich total Cool und Hilfsreich. Denn ich als Linux Newbie haben mir einige Threads hier wirklich sehr sehr weit geholfen. Aber auch ein kleiner Thread oder auch mehrere hier, verusachen gänzehaut bei mir.

Undzwar hab ich gelesen das man bei Linux ganz einfach das Root Passwort löschen kann und dann beim Systemstart wieder ein neues einfügen kann, eine kleine beschreibung die ich hier im Forum gefunden habe.


1. Starten von der CD z.B. bei mir SuSE 9.0 und wähle Rescue System
2. Wähle die Sprache aus Deutsch
3. Jetzt startet das Rettungssystem! Es kommt prompt Rescue login: da schreibst du root rein
4. Als nächstes musst Du die Linux Partition einbinden mit mount /dev/hda5 /mnt je nachdem welche Partition bei dir ist.
5. Kennwort Datei laden mit joe /mnt/etc/shadow
6. Falls es nicht findet, hast Du die falsche Partition eingebunden, dann mit unmount /mnt und wiederhole Nr.4 mit andere Partition
7. Löschen in der Zeile das verschlüsselten Kennwort, nur die zwischen dem ersten und dem zweiten Doppelpunkt z.B. root:0R5g38hXz3P2:12464:9:100
8. Es sieht dann z.B. so aus root::12464:9:100
9. Speicher es mit gedrückter Strg K und dann X
10. Tippe reboot um neu zu starten, aber nicht mehr von CD aus starten!
11. Logge dich als Benutzer ein, öffne eine Konsole und Tippe su und 2x Enter
12. Jetzt kannst Du einen neuen Passwort eingeben mit dem Befeht passwd


Also ich habs selber ausprobiert und es Funktioniert. Ich war wirklich schockiert. Meine Frage dazu, wenn es doch so einfach ist das Root Passwort zu ändern wo ist die Sicherheit das andere User keine Berechtigung bekommen an meinem Rechne irgendwas zu machen ??

(dies soll bitte vernüpftig diskutiert werden, denn ich möchte wirklich mal darüber aufgeklärt werden, Danke an die User die mir Helfen !!!!)


Cu Cyberrax

klemens
11.05.04, 01:32
Hallo!
jeder der mit Schraubenzieher und/oder Knoppix-CD vor Deinem PC steht, kann ihn leicht knacken.

Da musst Deine Daten schon verschlüsseln ;)

Schärple
11.05.04, 01:34
sobald jemand physikalischen Zutritt zu deinem Rechner hat, hast du sowieso schon verloren, da hilft dann nur noch starke Verschlüsselnung deiner Datenpartition. Das kann kein gängiges OS der Welt verhindern; und was die Sicherheit "von aussen" angeht: Jedes System ist nur so sicher, wie sicher es gemacht (administriert) wird.

Weniger Gerüchte mehr Fakten.

Cyberrax
11.05.04, 01:36
hmm. Mit was sollte oder kann man den am besten Daten verschlüsseln ? Ich kenne noch aus Win Zeiten PGP. Mit dem Programm hab ich soweit sehr gute Erfahrungen gemacht und wie ich bei KMail gesehen habe ist da schon leicht PGP mit einprogrammiert.

Gibts vielleicht irgendwelche Freeware Tools zum Crypten ??

Und vielleicht könnt ihr mir auch noch sagen ob PGP wirklich so gut ist oder ob ihr bessere Programme kennt. Danke

@ Schärpel: Klar jedes System ist nur so sicher, wie es der Admin gemacht hat. Reicht eigendlich die Firewall von Linux aus, die standart mäßig mit installiert wird ? und sie auf die Sicherheits stufe "Workstation und Server" gestellt wird ??

Cu Cyber

hp_tux
11.05.04, 01:44
Hallo,

nun, man kann sowas wenn nicht vielleicht komplett verhindern, aber immerhin sehr stark erschweren, indem man das Booten von CD und Diskette im BIOS deaktiviert und das BIOS-Setup mit einem Paßwort schützt, denn wenn man die Möglichkeit hat, von solchen Medien zu booten, kann man jeden Computer sabotieren.

Aber es gibt mindestens noch eine Möglichkeit, einen Linux-Computer als root zu booten, ohne überhaupt nach einem Paßwort gefragt zu werden: "init=/bin/bash" als Bootparameter am Prompt von GRUB oder LiLo ... Und ein Bootprompt dürfte wohl auf den allermeisten System Standard sein, oder?

Gruß

hp_tux

taylor
11.05.04, 02:00
Du kannst ein verschlüsseltes Dateisystem (z.B. mit loop-aes) einsetzen.

Damit wird das Ausspähen der Daten unmöglich (tm), zerstören kann man sie natürlich weiterhin. Außerdem kostet sowas natürlich Performanz und Bequemlichkeit.

klemens
11.05.04, 02:08
Reicht eigendlich die Firewall von Linux aus, die standart mäßig mit installiert wird ? und sie auf die Sicherheits stufe "Workstation und Server" gestellt wird ??

"Linux" ist einmal der Kernel - der Rest ist GNU oder sonst was. Was Du verwendest ist eine Distribution.

Trau mich aber trotzdem zu antworten:
Nein - die Firewall reicht nicht - die regelt nur den Netzverkehr und betoniert nur das eine oder andere Fettnäpfchen, in das man geneigt ist zu steigen, zu.

Cyberrax
11.05.04, 02:16
Du kannst ein verschlüsseltes Dateisystem (z.B. mit loop-aes) einsetzen.

Damit wird das Ausspähen der Daten unmöglich (tm), zerstören kann man sie natürlich weiterhin. Außerdem kostet sowas natürlich Performanz und Bequemlichkeit.

Also ich hab mal danach unter Google gesucht und direkt auch was gefunden, werde das mal die Tage ausprobieren Danke für dein Tipp !!!



"Linux" ist einmal der Kernel - der Rest ist GNU oder sonst was. Was Du verwendest ist eine Distribution.

Trau mich aber trotzdem zu antworten:
Nein - die Firewall reicht nicht - die regelt nur den Netzverkehr und betoniert nur das eine oder andere Fettnäpfchen, in das man geneigt ist zu steigen, zu.

Also dein Kommentar hat mir in Sache Linux schonmal wieder sehr weiter geholfen. Kann mir wer auch vielleicht eine sehr gute Firewall empfehlen ?? Danke

Cu Cyber

klemens
11.05.04, 02:28
Also dein Kommentar hat mir in Sache Linux schonmal wieder sehr weiter geholfen.

Hör ich da einen leichten zynischen Unterton ;-)



und sie auf die Sicherheits stufe "Workstation und Server" gestellt wird ??

Verschiedene Distributionen verwenden verschiedene Firewalls, mit verschiednen Sicherheitstufen. Ich denk mir, Du darfst Deiner Distribution vertrauen.

Ansonsten bin ich mit der Firewall von Harry (harry.homelinux.org) recht zufrieden.

Was Internet betrifft, ist vor allem relevant, welche Services Du anbietest (in etwa: welche Ports Du geöffnet hast) - Dann ist das nicht mehr Sache der Firewall, sondern Sache des Server-Programms.

Am locelen Rechner bist bis auf Verschlüsselung wirklich aufgeschmissen. Ein "bösartiger kleiner Bruder", der sich auskennt, schafft es auf jeden Fall, mit jedem Betriebssystem.

Cyberrax
11.05.04, 02:35
Nein Klemens ich bin gerade für jeden Kommentar oder eher gesagt für jede Hilfe sehr Dankbar. Bin erst seit gestern oder jetzt eher seit vorgestern mit Linux 9.1 Zugange und ich finde es einfach nur genial. In der Zeit hab ich Linux glaub ich schon 8 mal neu Installiert weil ich irgendwie kleinen mist gebaut habe :( :(

Und nun will ich mich in Linux einarbeiten, nur irgendwie allein schaft man das glaub ich nicht.

Also kann mir selbst der kleinste Tip sehr weiter helfen Danke nochmal für eure Hilfe !!!!

klemens
11.05.04, 02:48
sorry - mißverstanden -- bleiben wir beim Thema.

Trotzdem:
Du hast kein Linux 9.1 -- ich tipp einmal auf SuSE 9.1

Nochmals, langsam zum Mitschreiben, damit Mißverständnisse vermieden werden können. :
Es gibt Distributionen mit Versionen
z.B. SuSE 9.1, Mandarake 9.1, usw.
Dann gibt es Linux mit Versionen:
z.B. Linux 2.4.x, 2.6.x

Da mußt einfach unterscheiden!
Ein Linux 9.1 schafft nur Mißverständnisse:
Z.B.
SuSE 9.1 arbeitet mit Kernel 2.6
Mandrake 9.1 arbeitert mit Kernel 2.4
-- da kann schon was eindeutig mehrdeutig sein ;)

GNU mit Versionen ist mir jetzt nicht bekannt ;-)

Also Sprachgebrauch:
Ich verwende SuSE 9.1 -> jeder kennt sich aus
Ich verwende Linux 2.6.3 -> jeder kennt sich aus, aber keiner weiss, welche Distri
Ich verwende Linux 2.6.3/GNU -> jeder freut sich ;)
Ich verwende Lindows x.y.z -> jeder kennt sich aus, keiner freut sich

-- ich hab die Firewall auf "server/desktop" gestellt - keiner, der nicht zufällig die gleiche Distri wie Du verwendest kennt sich aus und keiner freut sich


solla - *duck und wegrenn* auch wenn das alle heilige Zeiten wieder einmal klargestellt gehört ;)

mbo
11.05.04, 10:13
Kann mir wer auch vielleicht eine sehr gute Firewall empfehlen ?? Danke


Ernsthaft? Du wirst niemanden finden, der Dir unter diesen Umständen / aufgrund dieser Informationen eine gute Firewall empfehlen kann / darf / sollte.
Firewall ist keine Software / Hardware, sondern eine "Definition".
Die beste Firewall / bester Virenscanner sitzt vor dem Monitor, sagt man.


Aber wie hat Sasser, gegen den der Patch schon 2 Wochen verfügbar war, bewiesen?

- den Benutzer trifft keine Schuld
- und es lag nicht an der verwendeten Software

... und außerdem gäbe es Sasser ohne diesen Patch nicht ...



Netfilter ist schon ein akzeptabler Anfang ... wichtiger ist aber der Zustand des Systems und der Benuter und seine Rechte.

cu/2 iae

kshade
11.05.04, 11:49
Aber es gibt mindestens noch eine Möglichkeit, einen Linux-Computer als root zu booten, ohne überhaupt nach einem Paßwort gefragt zu werden: "init=/bin/bash" als Bootparameter am Prompt von GRUB oder LiLo
Grub kann man so (http://www.pl-berichte.de/t_system/grub-howto.html#ToC4) absichern, lilo so (http://www.pl-berichte.de/t_kernel/liloconf.html). Keine Ahnung ob das auch mit yast2 zu machen ist, wahrscheinlich schon :)

drunkenPenguin
11.05.04, 12:33
Grub kann man so (http://www.pl-berichte.de/t_system/grub-howto.html#ToC4) absichern, lilo so (http://www.pl-berichte.de/t_kernel/liloconf.html). Keine Ahnung ob das auch mit yast2 zu machen ist, wahrscheinlich schon :)

Ist mit yast2 zu machen.
----------------------------------------------------------------
Und darauf achten, dass das deutsche Tastaturlayout nocht nicht geladen ist, wenn der Bootmanager auftaucht. Das Passwort sollte entsprechend gewählt werden.

Daniel

Blackhawk
11.05.04, 13:08
Also wenn der Rechner gegen unbefugten Root-Zugriff sicher sein soll:
- Rechnergehaeuse in abgeschlossenen Schrank.
- sicherheitshalber noch BIOS-Passwort
- Grub/Lilo mit passwort sichern
- Sicherheitspatches zeitnah einspielen

Das ist zwar nicht 100% sicher, aber immerhin...

mac
11.05.04, 14:34
Zwecks des Lilo/Grub PW's. Wenn ich die Möglichkeit habe den Rechner neu zu booten usw. kann ich doch genauso ne Knoppix CD einlegen.

dauni
11.05.04, 14:44
Zwecks des Lilo/Grub PW's. Wenn ich die Möglichkeit habe den Rechner neu zu booten usw. kann ich doch genauso ne Knoppix CD einlegen.

Deshlab ja das Paswort im Bios mit Verbot, von anderen Medien zu booten

L00NIX
11.05.04, 15:20
Weitere Tipps zur Datensicherheit:

Total paranoide Menschen könnten ja noch sämtliche nicht benutzten Laufwerke einfach mal ausbauen (CDROM, Diskette, etc.). Dann evtl. noch eine kleine Routine einbauen, die bei einem unauthentifizierten Bootvorgang (z.B. ohne MemoryStick mit Schlüssel oder spezieller Tastendruck) die Festplatte ratzeputz platt macht (am besten erst löschen, dann Headcrash).

Den PC in einen Schrank sperren ist nicht schlecht... Zusätzlich zum PC könnte man noch einen scharfen Hund mit einsperren. Für die Fütterung und das Gassi gehen muss man sich noch was überlegen...

Das PC Gehäuse selbst ist natürlich auch mit einem rundum gehenden Stahlbalken gegen Öffnen zu sichern. Wer auf Nummer "ganz sicher" gehen will, lässt den Schrank noch in Zement ein. Vorher aber bitte den Hund rausholen und einen Kühlungschlitz für das Netzteil nicht vergessen!

SCNR

cane
11.05.04, 15:56
@LOONIX


Dann evtl. noch eine kleine Routine einbauen, die bei einem unauthentifizierten Bootvorgang (z.B. ohne MemoryStick mit Schlüssel oder spezieller Tastendruck) die Festplatte ratzeputz platt macht (am besten erst löschen, dann Headcrash).

Wie bekomme ic ennden Headcrash hin - geht das oder hast Du Spaß gemacht?


mfg
cane

Harry
11.05.04, 17:39
Heb im laufenden Betrieb Deinen Rechner etwa einem Meter an, dann neige ihn seitlich um ca. 45° und lasse ihn aus dieser Höhe sofort los, so dass der physikalische Effekt einer sofortigen grösseren Energiefreisetzung beim Auftreffen auf dem Boden eintritt, die sich zuvor durch das Anheben gesammelt hat.

Solltest Du anschließend keinen Headcrash haben, dann hast Du etwas falsch gemacht ;) Hast Du einen Headcrash, dann solltest Du Dich versichern, ob evtl. noch andere Seiteneffekte aufgetreten sind.

PS: Diese Anleitung empfiehlt sich nicht zum Nachmachen daheim oder an Papas Rechner!

AlienSearcher
11.05.04, 17:54
Unter MS-DOS konnte man mit einem Befehl den "Arm" mit den Lese- und Schreibköpfen der Festplatte über das maximum hinausfahren lassen. Das Resultat war, dass sich der Arm verklemmt hat und die Festplatte sozusagen in den Selbstzerstörungsmodus ging :ugly:

Ich denke mal, dass da heute ein Software- und/oder Hardwareseitiger Schutzmechanismus eingebaut ist.

MfG AlienSearcher

Blackhawk
11.05.04, 17:55
Zwecks des Lilo/Grub PW's. Wenn ich die Möglichkeit habe den Rechner neu zu booten usw. kann ich doch genauso ne Knoppix CD einlegen.
Und wie bekommst Du die in den Schrank?

mac
11.05.04, 19:22
Ich ging ja davon aus, dass der PC nicht im Hochsicherheitsgefängnis sitzt :)
Bios Passwort ist doch mittels Batterie auch zu umgehen?

schuelsche
11.05.04, 19:47
Grub kann man so (http://www.pl-berichte.de/t_system/grub-howto.html#ToC4)

Hallo,
das habe ich jetzt gerade mal unter der SuSE 9.1 probiert.
Als root den Befehl grub-md5-crypt eingegeben und ich wurde dann auch nach dem Passwort gefragt. 2x eingegeben, aber leider keinen String zurückerhalten...

Wie kann ich das nun realisieren mit dem Passwortschutz für bspw. Windows? Ich kann hier ja nicht, wie in der Anleitung beschrieben, den nötigen String einsetzen, also
password -md5 STRING. Wenn ich das Passwort hier im Klartext reinschreibe, dann funktioniert das ja auch nicht?!? (ich habe das direkt in der /boot/grub/menu.lst gemacht)

Müsste doch aber auch einfach funktionieren, indem man ein PASSWORT md5-Verschlüsselt. Gibts dafür einen Befehl unter Linux, der mir ein beliebiges Wort sofort md5()-verschlüsselt wieder ausgibt?!


Grüsse
schuelsche

PS: es ist grub 0.94 installiert, nicht 0.91.

Harry
11.05.04, 21:45
Nimm halt dir Grub-Shell her und mach es da drin.
-> "grub", "md5crypt", "exit"

Harry

L00NIX
12.05.04, 08:13
@LOONIX

Wie bekomme ic ennden Headcrash hin - geht das oder hast Du Spaß gemacht?



Wenn dir die Methode von Harry nicht gefällt, oder es dir deine Nachbarn übelnehmen könnten, weiß ich leider auch nicht weiter. :(

Softwaremäßig wäre vielleicht eine Alphaversion der IDE- oder SCSI-Treiber zu empfehlen. Und immer mutig mit hdparm experimentieren, ruhig mal die Grenzbereiche ausloten! ;)

Blackhawk
12.05.04, 09:45
Ich ging ja davon aus, dass der PC nicht im Hochsicherheitsgefängnis sitzt :)
Bios Passwort ist doch mittels Batterie auch zu umgehen?
ALSO NOCHMAL: Ein Rechner auf den man physikalisch Zugriff hat, auf den hat man auch Root-Zugriff... IMMER!
Ich wuerd da nichtmal das BIOS umgehen, sondern gleich die Platte ausbauen...

maomakmaa
12.05.04, 10:53
Also dieser Tread ist ja mal wieder herrlich *lol*
Natürlich sollten wir die 3 Grundregeln zum Thema Onlinesicherheit unter Linux nicht vergessen anzuführen :
1. Nie als root surfen
2. Nie als root surfen
3. Nie als root surfen.

Was die Sicherheit des Systems hardwareseitig angeht, habe ich den kleinen Japanern in meinem Rechner die Zähne spitz gefeilt. War ne ganz schöne fummelei sag ich euch, doch wenn die mal zuschnappen...
;)

mac
12.05.04, 18:40
ALSO NOCHMAL: Ein Rechner auf den man physikalisch Zugriff hat, auf den hat man auch Root-Zugriff... IMMER!
Ich wuerd da nichtmal das BIOS umgehen, sondern gleich die Platte ausbauen...

Wirklich :p sag ich doch, deswegen war ja die frage nach dem Sinn der Passwörter beim Bootvorgang.

RapidMax
12.05.04, 20:32
Müsste doch aber auch einfach funktionieren, indem man ein PASSWORT md5-Verschlüsselt. Gibts dafür einen Befehl unter Linux, der mir ein beliebiges Wort sofort md5()-verschlüsselt wieder ausgibt?!
grub-md5-passwd ist nur ein Frontend das schlussendlich grub mit grub-Befehlen füttert.

Falls du jedoch ein Password md5-verschlüsseln willst, kannst du das mit openssl erledigen: um die Hex-Darstellung zu erhalten

$ cat<<EOF | openssl dgst -md5
> geheim
> EOF
3255e5acced6e40fc7c73ac6eaa34cdc

Um gleich die Darstellung, wie in /etc/shadow zu erhalten, nimmst du besser folgendes Kommando:

$ openssl passwd -1
Das sorgt dann auch dafür, dass niemand mitlesen kann.

Gruss, Andy