PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "Hacken" des Rechners durch Rettungsdiskette verhindern



Seiten : [1] 2 3

Doh!
02.09.03, 12:25
Falls die Frage schon mal erörtert wurde (würd' mich wundern wenn nicht), scheint die SuFu nicht richtig zu funktionieren :D - hab jedenfalls nix passendes gefunden. Falls doch, dann bewerft mich doch einfach mit M$ Produkten...

So zur Frage: schon für den wenig Kundigen Linuxianer ist es ja ein leichtes, ein System mit einer Rettungsdisk oder CD zu booten, in die /etc/shadows reinzugehen und das root-Passwort auf 0 setzten. Dann kann ich das System fein Booten und das Rootpasswort an meine Bedürfnisse "anpassen". Wie kann ich das verhindern (ohne den Rechner in einen Käfig einzuschließen natürlich, also rein Softwaretechnisch - auch keine BIOS Tricks, nur mit Linuxeigenen mitteln)?

Edit des Titels

schnebeck
02.09.03, 12:40
Gar nicht!

Du musst dafür das Bios entsprechend konfigurieren (Bootreihenfolge+Bootpasswort) und selbst das wäre für jemanden, der es darauf absieht nur ein Hindernis und keine Grenze ;-)

Gruß

Thorsten

pcdog
02.09.03, 12:44
cmos - reset etc etc.....
du musst halt auch wissen wen du bei dir zuhause hast....

kehj
02.09.03, 12:49
Jo, ich denke auch, wenn ein böser Mensch physikalischen Zugriff auf deinen Rechner hat, ist es vorbei.

Notfalls Festplatte ausbauen, in einen neuen Rechner einbauen - tata! Zugriff auf alle Dateien.

Was mir noch einfallen würde: Halte dir einfach einen großen, bösen Hund, der auf den Floppy aufpaßt :D

Jasper
02.09.03, 12:54
Original geschrieben von Doh!
"anpassen". Wie kann ich das verhindern (ohne den Rechner in einen Käfig einzuschließen natürlich, also rein Softwaretechnisch - auch keine BIOS Tricks, nur mit Linuxeigenen mitteln)?

die einzige möglichkeit ist verschlüsselung, also die filesysteme verschlüsseln und gut ist. hat allerdings auch nachteile (recovery, performance).

-j

zwerg
02.09.03, 20:12
Original geschrieben von Jasper
die einzige möglichkeit ist verschlüsselung, also die filesysteme verschlüsseln und gut ist. hat allerdings auch nachteile (recovery, performance).

-j
würde das denn jemanden daran hindern die Platte zu plätten? Sorry, kenn mich da nicht aus, könnte es mir aber nicht vorstellen..

zwerg

cybercrow
02.09.03, 20:19
Wie schon gesagt wurde gibt es keine Möglichkeit. Wenn man direkten Zugriff auf den PC hat hilft auser einem Stahlkäfig nichts mehr.

Nur noch eine kurze Anmerkung zu deinem Topic:
Du meinst Cracken und nicht Hacken! ;)

Jasper
02.09.03, 20:29
Original geschrieben von zwerg
würde das denn jemanden daran hindern die Platte zu plätten? Sorry, kenn mich da nicht aus, könnte es mir aber nicht vorstellen..


nein, damit hindert man niemanden daran, die platte zu löschen. es verhindert auch nicht, dass jemand mit der flex den server auseinander nimmt.
das war aber auch nicht gefragt.

-j

kehj
03.09.03, 10:06
Moin,

gibt es eigentlich irgendwelche Aussagen, Artikel zum Knacken von Festplatten-Verschlüsselungen? Ich schätze mal, daß bei bekanntem Verschlüsselungsalgorithmus und bekannter Systemkonfiguration (davon ist ja auszugehen), sehr, sehr viel Material für's Knacken zur Verfügung steht.

Im Crypto-HOWTO wird der Algorithmus Serpent vorgeschlagen, der mir persönlich nix sagt. Aber sollte DES genutzt werden, ist das Knacken in angemessener Zeit sicherlich möglich, oder?

flyingsausage
03.09.03, 12:38
Zum Thema direkter Zugriff (physikalischer Natur) auf den PC:
Es gibt eine große Menge an Server-Gehäusen, welche aus dickem Metall sind und eine ABSCHLIESSBARE Front haben :D

Ich persönlich bin im Besitz eines solchen Gehäuses ( Muss leider sagen, dass man die Seiten nicht gegen abschrauben schützen kann, ausser durch Torx-Schrauben, welche ja ein Hinderniss für jeden ohne passenden Schraubendreher sind ).

stefan-tiger
03.09.03, 12:46
ich würd:

1. abschliesbares gehäuse benutzen
2. BIOS passwort setzen
3. wenn nicht benötigt, alle laufwerke ausser die festplatten ausbauen oder zumindest das kabel abziehen.
4. das gehäuse an einen schwer errichbaren ort, oder an einen ort an dem man überwachen kann wenn jemand an das gehäuse geht.
5. wenn möglich das ganze am fussboden fest schrauben/nieten



so, jetzt ist es wohl sehr sicher.


gruß

Doh!
03.09.03, 16:53
Original geschrieben von stefan-tiger
ich würd:

1. abschliesbares gehäuse benutzen
2. BIOS passwort setzen
3. wenn nicht benötigt, alle laufwerke ausser die festplatten ausbauen oder zumindest das kabel abziehen.
4. das gehäuse an einen schwer errichbaren ort, oder an einen ort an dem man überwachen kann wenn jemand an das gehäuse geht.
5. wenn möglich das ganze am fussboden fest schrauben/nieten



so, jetzt ist es wohl sehr sicher.


gruß

Jo, des ist ja alles klar. Aber wenn ich nun einem User eine Linuxworkstation einrichten will? Und er soll CDROM und Disk benutzen dürfen? Ich weiß, Windows ist da auch net besser aber darum geht's ja net.

Stefan_1
03.09.03, 17:02
Die einzige Möglichkeit ist im BIOS die Bootfolge auf "only C" einzustellen. dann ist die Verwendung von CD + Disk möglich aber das Booten nicht mehr..

Wenn du dann noch verhinderst das der user den PC aufschrauben kann (oder durch 5 1/4" Laufwerksschächte reinlangen ) ist nur noch das Risiko mit nem Masterpasswort da.

stefan-tiger
03.09.03, 17:26
Original geschrieben von Stefan_1
verhinderst das der user den PC aufschrauben kann

und wie bitte soll das gehen?

stefan-tiger
03.09.03, 17:30
mir ist da nochwas eingefallen:

kennt ihr diese kleinen farb-päckchen, die die polizei z.b. in den lösegeldkoffer einbaut?
bau soeins in dein rechnergehäuse dass es explodiert wenn man es weit genug auf hat. dann ist er markiert und du kannst den "schurken" ermitteln ;-)

ne, jetzt mal im ernst: was hast du vor? welche üblen gestalten lässt du an den pc?

gruß

gfc
03.09.03, 17:39
Original geschrieben von flyingsausage
Zum Thema direkter Zugriff (physikalischer Natur) auf den PC:
Es gibt eine große Menge an Server-Gehäusen, welche aus dickem Metall sind und eine ABSCHLIESSBARE Front haben :D

Ich persönlich bin im Besitz eines solchen Gehäuses ( Muss leider sagen, dass man die Seiten nicht gegen abschrauben schützen kann, ausser durch Torx-Schrauben, welche ja ein Hinderniss für jeden ohne passenden Schraubendreher sind ).

also bitteeeee... hör mir doch auf.. wenn jemand die Daten eines Servers zerstören will, wird der sich doch ned von Schrauben behindern.. ich sag da nur:

2 Kilo C4 und gut is

Thomas Mitzkat
03.09.03, 18:39
NO-FUTURE, Schnegge!
je länger ich den spruch sehe, um so blöder finde ich den :D

ansonsten gähn.. - stefan-tiger hat den besten beitrag zur never-ending-story gebracht. mutter beimer lässt grüßen ;)

LX-Ben
03.09.03, 20:42
Zu stefan-tiger
welche üblen gestalten lässt du an den pc?
Tja das ist schon eine Frage, wenn Junior Schulfreunde nach
Hause bringt und die mit ihrem Halbwissen protzen wollen -
und unsereins Werktätiger mit Fahrzeiten täglich zehn Stunden
nichts überwachen kann.. :ugly:

Daher habe ich PC-Gehäuse mit Schloss-Klappe (die
entscheidenden Schrauben sind dahinter) und Junior
zähneknirschend einen eigenen PC bewilligt. :cool:

schnebeck
03.09.03, 22:50
Übrigens,

vielleicht hilft TCPA die Situation zu verbessern ;-)

Denk mal drüber nach.

Bye

Thorsten

gfc
03.09.03, 22:53
Original geschrieben von Thomas Mitzkat
je länger ich den spruch sehe, um so blöder finde ich den :D


der steht auch ned da, um dir zu gefallen ;)

Doh!
04.09.03, 02:50
Original geschrieben von stefan-tiger

ne, jetzt mal im ernst: was hast du vor? welche üblen gestalten lässt du an den pc?


Bin Netzwerkadmin und Ihr glaubt net, wie böse user sein können.... Der user an sich ist von Grund auf böse..... :D

Ne im Ernst, ist halt so, um so größer eine Firma, um so wahrscheinlicher, dass ein User (oder dessen Freunde, Bekannte, Verwandte) dabi ist, der halt mal mehr macht als er soll.

Folgendes Szenario: Irgendein "wichtiger" Mitarbeiter arbeitet mit einer Linuxbüxe. Azubi xyz weiß das, hat zu Hause Erfahrung mit Linux... uswuswusw.

Alex_K
04.09.03, 09:40
Original geschrieben von stefan-tiger
und wie bitte soll das gehen?

indem man solche gehäuse verwendet wie sie bei uns auf der uni überall stehen. die haben hinten alle die möglichkeit ein vorhängeschloss anzubringen. so kann man ihn zwar noch aufschrauben aber man bringt die seitenteile trotzdem nicht runter ....

Thomas Mitzkat
04.09.03, 10:16
Original geschrieben von gfc
der steht auch ned da, um dir zu gefallen ;)
LOL, mit ein bisschen Phantasie, könnte man auch deinen Avatar in diese Richtung deuten ;) :p

malburg
04.09.03, 18:03
Also bei mir ist es egal ob er den rechner hat

denn meine passwörter werden in einem ldap server gespeichert.

um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.

dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.

aber der aufwand ist schon ziemlich hoch

Marcel a.

George Mason
04.09.03, 18:55
- Wechselrahmen sind Pflicht, oder nimm ne externe SCSI-Platte, mitnehmen oder in einem geheimen Safe verstecken. Lass eine lustige Ersatzplatte zurück.
- das mit dem Farbbeutel find ich echt klasse!!!
- beim unbefugten Öffnen des Rechners wird ein Betäubungsmittel versprüht
- Knallharte Verschlüsselung aller Partitionen. Nimm irgendwas, das in den USA verboten ist.
- Wie wäre es mit ner Stinkpatrone? Vorsicht, nicht selbst auslösen!
- Auf jeden Fall eine Nachricht im oder auf dem Gehäuse hinterlassen. z.B. 'Idiot Outside!'
- Gehäuse zuschweißen. Vorher überlegen, ob Du evtl. noch aufrüsten wolltest
- Such nach ausgemusterten Firmen-PC-Gehäusen. Compaq, HP und andere haben damals dolle Dinger bauen lassen..
- Schreibe ein Programm, das totalen Datenverlust vortäuscht... und nur Du wieder an die Daten rankommst..
- sei spontan!

Jasper
04.09.03, 22:23
Original geschrieben von malburg
Also bei mir ist es egal ob er den rechner hat

denn meine passwörter werden in einem ldap server gespeichert.

um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.

dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.


???

was will ich mt deinen passwörtern? die sind mir doch egal. wenn ich physisch an deinen rechner rankomme, habe ich deine daten (sofern sie nicht verschlüsselt sind).

-j

malburg
05.09.03, 11:33
das stimmt allerdings, aber es ging auch darum, das jemand in der shadow das root passwort zurücksetzten kann.

und ich glaube nicht, das irgendjemand ne kompletten 19" rack klaut ?


Marcel A.

MrIch
05.09.03, 11:43
die Lösung ist, alles zu verschlüsseln...

mit loop-aes kann man auch seine Root Partition verschlüsseln.
http://loop-aes.sourceforge.net/loop-AES.README

Doh!
05.09.03, 12:09
Original geschrieben von malburg
Also bei mir ist es egal ob er den rechner hat

denn meine passwörter werden in einem ldap server gespeichert.

um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.

dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.

aber der aufwand ist schon ziemlich hoch

Marcel a.

Da täuscht Du Dich, als root komm ich trotzdem auf Deine Kiste... probiers aus

malburg
05.09.03, 13:01
bei mir nicht

musst bloss die richtigen einstellung in libpam und libnss machen

wenn der ldap server weg ist, dann kommst du nicht ran

Marcel