greetings

folgendes: hat man zugang zu einem linux rechner, ist es relativ leicht, via knoppix die lokalen paritionen zu mounten, einen neuen user in die passwd zu schreiben und durch crypt() aus der unistd.h ein verschlüsseltes passwort zu generieren, welches anschließend in die shadow datei eingetragen wird.

ist /etc oder gar / als nfs export eingetragen, ist es ein leichtes das ganze remotemäßig auf einem server zu missbrauchen.

meine überlegungen, diese sicherheitslücke zu unterbinden gehen in richtung cfs/tcfs. hat wer noch andere lösungsvorschläge sich gegen einen solchen angriff zu schützen?

grüße,
dis

Diese Anfälligkeiten dürfen eigentlich nicht als Sicherheitslücken angesehen werden, da das Prinzip Situationsbedingt ist. Das Problem bei NFS lässt sich durch eine richtige Konfiguration lösen, indem der User root auf einen anderen User gemappt wird.

Das Problem mit dem Zugriff auf die Passwort-Datei gilt auch für andere Systeme, wie z.B. WindowsNT/XP, bei welchem sich mit der Wiederherstellungskonsole ebenfall die Administrator-Reche umgehen lassen.

Als Abhilfe muss ein Bios-Passwort gesetzt werden, die Boot-Reihenfolge auf nur C: gesetzt und der Boot-Manager mit einem Passwort geschützt werden und die Möglichkeit zur Angabe von Boot-Parameter genommen werden. Zusätzlich muss der Rechner vor unbefugtem Öffnen geschützt werden, so dass es nicht einfach möglich ist, die Harddisk auszubauen oder die Bios-Einstellungen zu löschen.

Die grösste Sicherheitslücke liegt hier beim Bios, sofern ein "Masterpasswort" vorhanden ist.

Eine andere Lösung um seine Daten auf der Harddisk zu schützen ist Kryptographie, allerdings bringt es nichts, die /etc/shadow und /etc/passwd zu verschlüsseln, da das System diese dann nicht mehr lesen kann.

Gruss, Andy

---ist /etc oder gar / als nfs export eingetragen, ist es ein leichtes das ganze remotemäßig auf einem server zu missbrauchen.---

Wer macht so einen Müll?

---meine überlegungen, diese sicherheitslücke zu unterbinden gehen in richtung cfs/tcfs. hat wer noch andere lösungsvorschläge sich gegen einen solchen angriff zu schützen?---

Ich weiß nicht was cfs/tcfs ist, aber man kann die Platte verschlüsseln!

Es gibt ja noch einfachere Wege das root-Passwort zu setzen! Lilo reicht dazu schon!

>Eine andere Lösung um seine Daten auf der Harddisk zu schützen ist Kryptographie, allerdings bringt es nichts, die /etc/shadow und /etc/passwd zu verschlüsseln, da das System diese dann nicht mehr lesen kann.

dann fällt die cfs idee wohl ins wasser :(
da die meisten bios hersteller ein univeral passwort integrieren ist zwar schade, doch leider tatsache.

Original geschrieben von disorgoth
da die meisten bios hersteller ein univeral passwort integrieren ist zwar schade, doch leider tatsache.

Ein entprechend sensiebles System sollte sowieso hinter Schloss und Riegel. So kann ein Angreifer schon gar keine Bootmedien einlegen. Wenn es trotzdem notwendig ist irgend welche Medien einzulegen, dann muss ein System gesucht werden, dessen Hersteller garantiert, dass kein Universalpasswort existiert.

Gruss, Andy

Original geschrieben von disorgoth

dann fällt die cfs idee wohl ins wasser :(


cfs/tcfs sind sowieso nicht mehr zeitgemaess.

Eine verschluesselte Root Partition mit loop-aes waere ne moeglichkeit, dann ist der einzig verbleibende Angriffspunkt der Kernel, der unverschluesselt sein muss.

Btw, das hinzufuegen eines Users in die /etc/passwd ist noch das harmloseste und am einfachsten zu entdeckende, dass ein Angreifer mit physischen Zugriff auf deinen Rechner machen kann.

Wie die anderen schon sagten, das wegschliessen des Rechners ist das einzig wirklich sichere, das du tun kannst, wenn du dir wegen solchen Gefahren sorgen machen musst. Ansonsten gelegentlcih auch mal in den Rechner und auf die Verkabelung schauen, Hardware Keyboard Logger gibt's schon fuer ein paar Euro..

Gruss, cytrox