On Tue, 26 Aug 2003 00:48:42 +0200 "Hans-Peter \"HP\" Weecks" <[EMAIL PROTECTED]> wrote:
> zur Absicherung bestimmter Rechner unter Window$, verfolgte ich lange > Zeit das untenstehende Konzept, welches ich jetzt in �hnlicher Form > unter Debian Linux umsetzen will: > > (1. Absicherung �ber Bios-Passwort) > 2. Pre-Boot Authentifikation Der Bootloader Lilo kann vor dem eigentlichen Booten ein Passwort abfragen. Das macht nat�rlich nur Sinn, wenn im (abgesicherten) Bios das Booten von anderen Medien ausgeschaltet ist. > 3. Aufteilung der Harddisk in drei Partionen: > a) Betriebssystem und standard Software minimale Gr��e (NTFS) > b) FAT32 Partionen mit Recovery-Tools und gesicherten Cryptschl�sseln > c) Cryptpartion Echtzeitverschl�selung R/W f�r Daten �) Unter Unix/Linux kann jedes Verzeichnis aus einer eigenen Partition bestehen, die dann dorthin gemountet wird. Da der Verzeichnisbaum (meiner Meinung nach) wesentlich geordneter ist als bei Windows, l�sst sich hier viel einfacher etwas bewerkstelligen. So k�nnen afaik bis auf /home,/tmp und /var alle Verzeichnisse read-only gemountet werden. Was 3c) angeht: daf�r gibt es wohl CFS, das cryptographic file system bzw. StegFS. Davon bekommt der Benutzer auch nichts mit. > 4. Umbiegen tempor�rer und sonstiger Dateien (Auslagerungsdatei etc) Die von Windows bekannte Auslagerungsdatei kommt bei Unix sowieso meist auf eine eigene, vom Benutzer nicht lesbare Partition. Im Umbiegen von tempor�ren Dateien sehe ich unter Unix keinen Sinn. > 5. AntiTempest Mode, HardwarekeyloggerScan, MD5-Checksummen auf die > fertige und saubere Installation verbunden mit Steganographie-Elementen Ersteres sagt mir �berhaupt nichts und zu "HardwarekeyloggerScan" h�tte ich auch gerne eine Erkl�rung. Ist das eine Hardware, die nach Keylogger-Software sucht oder umgekehrt? Und wie soll sowas funktionieren? MD5-Summen kannst du sicherlich von Debian anlegen lassen. Da man die entsprechenden Teile allerdings auch read-only mounten kann, w�ren die MD5-Summen nur im Falle eines Exploits von N�ten. Um sowas effektiv zu umgehen k�nnte man vielleicht Hardware einsetzen, die nur das Lesen von einem Ger�t erlaubt. > Hat jemand soetwas oder etwas �hnliches, abgesehen von Punkt 1, bereits > einem f�r ein Debian-System umgesetzt? Falls ja, w�rde es mich sehr > interessieren wie. Ich mu� zugeben, dass ich so etwas noch nicht einmal ansatzweise umgesetzt habe. Ich bin mir auch nicht ganz im Klaren dar�ber, was das alles bringen soll. Bei der standard-Rechtevergabe kann der Nutzer eines Debian-Systems nur auf seine Dateien in /tmp und in seinem Homedir zugreifen, wobei die Platzbelegung afaik auch noch durch disk-quotas beschr�nkt werden kann. Der Benutzer hat also im Normalfall keine M�glichkeit, mehr als nur seinen Account zu besch�digen. Sollen die Sch�digungsm�glichkeiten im Falle eines Exploits beschr�nkt werden, kann man vielleicht noch root seiner Rechte berauben oder auch root umbenennen. Das grenzt aber wohl ehr an Perversion als an Paranoia - da ist ehr das rechtzeitige Einspielen von Patches/Updates angesagt. Die Security-Updates f�r Debian Stable haben wohl den Ruf sehr gut, p�nktlich und einfach durchf�hrbar zu sein. Wenn die gesicherten Daten gegen physikalischen Zugriff gesichert werden sollen, k�nnte CFS evtl. hilfreich sein. Bei �rgeren Bef�rchtungen k�nnte man auch diskless Clients bauen und alles NFS-mounten. Ich sehe f�r mich keine Notwendigkeit solche Ma�namen umzusetzen - was nicht heist, dass es mich nicht interessiert. Ich hoffe jedoch, ich habe dir einige gute Stichpunkte zum googlen gegeben. Interessieren w�rde mich auch noch, in was f�r einer Umgebung die so gesicherten Rechner stehen sollen. Christian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
