Archiv verlassen und diese Seite im Standarddesign anzeigen : "Hacken" des Rechners durch Rettungsdiskette verhindern
Falls die Frage schon mal erörtert wurde (würd' mich wundern wenn nicht), scheint die SuFu nicht richtig zu funktionieren :D - hab jedenfalls nix passendes gefunden. Falls doch, dann bewerft mich doch einfach mit M$ Produkten...
So zur Frage: schon für den wenig Kundigen Linuxianer ist es ja ein leichtes, ein System mit einer Rettungsdisk oder CD zu booten, in die /etc/shadows reinzugehen und das root-Passwort auf 0 setzten. Dann kann ich das System fein Booten und das Rootpasswort an meine Bedürfnisse "anpassen". Wie kann ich das verhindern (ohne den Rechner in einen Käfig einzuschließen natürlich, also rein Softwaretechnisch - auch keine BIOS Tricks, nur mit Linuxeigenen mitteln)?
Edit des Titels
Gar nicht!
Du musst dafür das Bios entsprechend konfigurieren (Bootreihenfolge+Bootpasswort) und selbst das wäre für jemanden, der es darauf absieht nur ein Hindernis und keine Grenze ;-)
Gruß
Thorsten
cmos - reset etc etc.....
du musst halt auch wissen wen du bei dir zuhause hast....
Jo, ich denke auch, wenn ein böser Mensch physikalischen Zugriff auf deinen Rechner hat, ist es vorbei.
Notfalls Festplatte ausbauen, in einen neuen Rechner einbauen - tata! Zugriff auf alle Dateien.
Was mir noch einfallen würde: Halte dir einfach einen großen, bösen Hund, der auf den Floppy aufpaßt :D
Original geschrieben von Doh!
"anpassen". Wie kann ich das verhindern (ohne den Rechner in einen Käfig einzuschließen natürlich, also rein Softwaretechnisch - auch keine BIOS Tricks, nur mit Linuxeigenen mitteln)?
die einzige möglichkeit ist verschlüsselung, also die filesysteme verschlüsseln und gut ist. hat allerdings auch nachteile (recovery, performance).
-j
Original geschrieben von Jasper
die einzige möglichkeit ist verschlüsselung, also die filesysteme verschlüsseln und gut ist. hat allerdings auch nachteile (recovery, performance).
-j
würde das denn jemanden daran hindern die Platte zu plätten? Sorry, kenn mich da nicht aus, könnte es mir aber nicht vorstellen..
zwerg
Wie schon gesagt wurde gibt es keine Möglichkeit. Wenn man direkten Zugriff auf den PC hat hilft auser einem Stahlkäfig nichts mehr.
Nur noch eine kurze Anmerkung zu deinem Topic:
Du meinst Cracken und nicht Hacken! ;)
Original geschrieben von zwerg
würde das denn jemanden daran hindern die Platte zu plätten? Sorry, kenn mich da nicht aus, könnte es mir aber nicht vorstellen..
nein, damit hindert man niemanden daran, die platte zu löschen. es verhindert auch nicht, dass jemand mit der flex den server auseinander nimmt.
das war aber auch nicht gefragt.
-j
Moin,
gibt es eigentlich irgendwelche Aussagen, Artikel zum Knacken von Festplatten-Verschlüsselungen? Ich schätze mal, daß bei bekanntem Verschlüsselungsalgorithmus und bekannter Systemkonfiguration (davon ist ja auszugehen), sehr, sehr viel Material für's Knacken zur Verfügung steht.
Im Crypto-HOWTO wird der Algorithmus Serpent vorgeschlagen, der mir persönlich nix sagt. Aber sollte DES genutzt werden, ist das Knacken in angemessener Zeit sicherlich möglich, oder?
flyingsausage
03.09.03, 12:38
Zum Thema direkter Zugriff (physikalischer Natur) auf den PC:
Es gibt eine große Menge an Server-Gehäusen, welche aus dickem Metall sind und eine ABSCHLIESSBARE Front haben :D
Ich persönlich bin im Besitz eines solchen Gehäuses ( Muss leider sagen, dass man die Seiten nicht gegen abschrauben schützen kann, ausser durch Torx-Schrauben, welche ja ein Hinderniss für jeden ohne passenden Schraubendreher sind ).
stefan-tiger
03.09.03, 12:46
ich würd:
1. abschliesbares gehäuse benutzen
2. BIOS passwort setzen
3. wenn nicht benötigt, alle laufwerke ausser die festplatten ausbauen oder zumindest das kabel abziehen.
4. das gehäuse an einen schwer errichbaren ort, oder an einen ort an dem man überwachen kann wenn jemand an das gehäuse geht.
5. wenn möglich das ganze am fussboden fest schrauben/nieten
so, jetzt ist es wohl sehr sicher.
gruß
Original geschrieben von stefan-tiger
ich würd:
1. abschliesbares gehäuse benutzen
2. BIOS passwort setzen
3. wenn nicht benötigt, alle laufwerke ausser die festplatten ausbauen oder zumindest das kabel abziehen.
4. das gehäuse an einen schwer errichbaren ort, oder an einen ort an dem man überwachen kann wenn jemand an das gehäuse geht.
5. wenn möglich das ganze am fussboden fest schrauben/nieten
so, jetzt ist es wohl sehr sicher.
gruß
Jo, des ist ja alles klar. Aber wenn ich nun einem User eine Linuxworkstation einrichten will? Und er soll CDROM und Disk benutzen dürfen? Ich weiß, Windows ist da auch net besser aber darum geht's ja net.
Die einzige Möglichkeit ist im BIOS die Bootfolge auf "only C" einzustellen. dann ist die Verwendung von CD + Disk möglich aber das Booten nicht mehr..
Wenn du dann noch verhinderst das der user den PC aufschrauben kann (oder durch 5 1/4" Laufwerksschächte reinlangen ) ist nur noch das Risiko mit nem Masterpasswort da.
stefan-tiger
03.09.03, 17:26
Original geschrieben von Stefan_1
verhinderst das der user den PC aufschrauben kann
und wie bitte soll das gehen?
stefan-tiger
03.09.03, 17:30
mir ist da nochwas eingefallen:
kennt ihr diese kleinen farb-päckchen, die die polizei z.b. in den lösegeldkoffer einbaut?
bau soeins in dein rechnergehäuse dass es explodiert wenn man es weit genug auf hat. dann ist er markiert und du kannst den "schurken" ermitteln ;-)
ne, jetzt mal im ernst: was hast du vor? welche üblen gestalten lässt du an den pc?
gruß
Original geschrieben von flyingsausage
Zum Thema direkter Zugriff (physikalischer Natur) auf den PC:
Es gibt eine große Menge an Server-Gehäusen, welche aus dickem Metall sind und eine ABSCHLIESSBARE Front haben :D
Ich persönlich bin im Besitz eines solchen Gehäuses ( Muss leider sagen, dass man die Seiten nicht gegen abschrauben schützen kann, ausser durch Torx-Schrauben, welche ja ein Hinderniss für jeden ohne passenden Schraubendreher sind ).
also bitteeeee... hör mir doch auf.. wenn jemand die Daten eines Servers zerstören will, wird der sich doch ned von Schrauben behindern.. ich sag da nur:
2 Kilo C4 und gut is
Thomas Mitzkat
03.09.03, 18:39
NO-FUTURE, Schnegge!
je länger ich den spruch sehe, um so blöder finde ich den :D
ansonsten gähn.. - stefan-tiger hat den besten beitrag zur never-ending-story gebracht. mutter beimer lässt grüßen ;)
Zu stefan-tiger
welche üblen gestalten lässt du an den pc?
Tja das ist schon eine Frage, wenn Junior Schulfreunde nach
Hause bringt und die mit ihrem Halbwissen protzen wollen -
und unsereins Werktätiger mit Fahrzeiten täglich zehn Stunden
nichts überwachen kann.. :ugly:
Daher habe ich PC-Gehäuse mit Schloss-Klappe (die
entscheidenden Schrauben sind dahinter) und Junior
zähneknirschend einen eigenen PC bewilligt. :cool:
Übrigens,
vielleicht hilft TCPA die Situation zu verbessern ;-)
Denk mal drüber nach.
Bye
Thorsten
Original geschrieben von Thomas Mitzkat
je länger ich den spruch sehe, um so blöder finde ich den :D
der steht auch ned da, um dir zu gefallen ;)
Original geschrieben von stefan-tiger
ne, jetzt mal im ernst: was hast du vor? welche üblen gestalten lässt du an den pc?
Bin Netzwerkadmin und Ihr glaubt net, wie böse user sein können.... Der user an sich ist von Grund auf böse..... :D
Ne im Ernst, ist halt so, um so größer eine Firma, um so wahrscheinlicher, dass ein User (oder dessen Freunde, Bekannte, Verwandte) dabi ist, der halt mal mehr macht als er soll.
Folgendes Szenario: Irgendein "wichtiger" Mitarbeiter arbeitet mit einer Linuxbüxe. Azubi xyz weiß das, hat zu Hause Erfahrung mit Linux... uswuswusw.
Original geschrieben von stefan-tiger
und wie bitte soll das gehen?
indem man solche gehäuse verwendet wie sie bei uns auf der uni überall stehen. die haben hinten alle die möglichkeit ein vorhängeschloss anzubringen. so kann man ihn zwar noch aufschrauben aber man bringt die seitenteile trotzdem nicht runter ....
Thomas Mitzkat
04.09.03, 10:16
Original geschrieben von gfc
der steht auch ned da, um dir zu gefallen ;)
LOL, mit ein bisschen Phantasie, könnte man auch deinen Avatar in diese Richtung deuten ;) :p
Also bei mir ist es egal ob er den rechner hat
denn meine passwörter werden in einem ldap server gespeichert.
um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.
dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.
aber der aufwand ist schon ziemlich hoch
Marcel a.
George Mason
04.09.03, 18:55
- Wechselrahmen sind Pflicht, oder nimm ne externe SCSI-Platte, mitnehmen oder in einem geheimen Safe verstecken. Lass eine lustige Ersatzplatte zurück.
- das mit dem Farbbeutel find ich echt klasse!!!
- beim unbefugten Öffnen des Rechners wird ein Betäubungsmittel versprüht
- Knallharte Verschlüsselung aller Partitionen. Nimm irgendwas, das in den USA verboten ist.
- Wie wäre es mit ner Stinkpatrone? Vorsicht, nicht selbst auslösen!
- Auf jeden Fall eine Nachricht im oder auf dem Gehäuse hinterlassen. z.B. 'Idiot Outside!'
- Gehäuse zuschweißen. Vorher überlegen, ob Du evtl. noch aufrüsten wolltest
- Such nach ausgemusterten Firmen-PC-Gehäusen. Compaq, HP und andere haben damals dolle Dinger bauen lassen..
- Schreibe ein Programm, das totalen Datenverlust vortäuscht... und nur Du wieder an die Daten rankommst..
- sei spontan!
Original geschrieben von malburg
Also bei mir ist es egal ob er den rechner hat
denn meine passwörter werden in einem ldap server gespeichert.
um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.
dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.
???
was will ich mt deinen passwörtern? die sind mir doch egal. wenn ich physisch an deinen rechner rankomme, habe ich deine daten (sofern sie nicht verschlüsselt sind).
-j
das stimmt allerdings, aber es ging auch darum, das jemand in der shadow das root passwort zurücksetzten kann.
und ich glaube nicht, das irgendjemand ne kompletten 19" rack klaut ?
Marcel A.
die Lösung ist, alles zu verschlüsseln...
mit loop-aes kann man auch seine Root Partition verschlüsseln.
http://loop-aes.sourceforge.net/loop-AES.README
Original geschrieben von malburg
Also bei mir ist es egal ob er den rechner hat
denn meine passwörter werden in einem ldap server gespeichert.
um da ranzukommen muss er das ldap passwort kennen, welches in md5 verschlüsselt ist (geht zwar per brute force aber bei meinen passwörtertn :) ). würde die ldap datenbank löschen, dann kommt er gar nicht mehr an das system und dann ist auch schluss.
dann müsste er warten bis ne sicherheitslücke in einem programm ist und die ausnutzen um root rechte zu bekommen.
aber der aufwand ist schon ziemlich hoch
Marcel a.
Da täuscht Du Dich, als root komm ich trotzdem auf Deine Kiste... probiers aus
bei mir nicht
musst bloss die richtigen einstellung in libpam und libnss machen
wenn der ldap server weg ist, dann kommst du nicht ran
Marcel
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.