On Tue, 26 Aug 2003 00:48:42 +0200 "Hans-Peter \"HP\" Weecks" <[EMAIL PROTECTED]> wrote:
> zur Absicherung bestimmter Rechner unter Window$, verfolgte ich lange > Zeit das untenstehende Konzept, welches ich jetzt in ähnlicher Form > unter Debian Linux umsetzen will: > > (1. Absicherung über Bios-Passwort) > 2. Pre-Boot Authentifikation Der Bootloader Lilo kann vor dem eigentlichen Booten ein Passwort abfragen. Das macht natürlich nur Sinn, wenn im (abgesicherten) Bios das Booten von anderen Medien ausgeschaltet ist. > 3. Aufteilung der Harddisk in drei Partionen: > a) Betriebssystem und standard Software minimale Größe (NTFS) > b) FAT32 Partionen mit Recovery-Tools und gesicherten Cryptschlüsseln > c) Cryptpartion Echtzeitverschlüselung R/W für Daten ¹) Unter Unix/Linux kann jedes Verzeichnis aus einer eigenen Partition bestehen, die dann dorthin gemountet wird. Da der Verzeichnisbaum (meiner Meinung nach) wesentlich geordneter ist als bei Windows, lässt sich hier viel einfacher etwas bewerkstelligen. So können afaik bis auf /home,/tmp und /var alle Verzeichnisse read-only gemountet werden. Was 3c) angeht: dafür gibt es wohl CFS, das cryptographic file system bzw. StegFS. Davon bekommt der Benutzer auch nichts mit. > 4. Umbiegen temporärer und sonstiger Dateien (Auslagerungsdatei etc) Die von Windows bekannte Auslagerungsdatei kommt bei Unix sowieso meist auf eine eigene, vom Benutzer nicht lesbare Partition. Im Umbiegen von temporären Dateien sehe ich unter Unix keinen Sinn. > 5. AntiTempest Mode, HardwarekeyloggerScan, MD5-Checksummen auf die > fertige und saubere Installation verbunden mit Steganographie-Elementen Ersteres sagt mir überhaupt nichts und zu "HardwarekeyloggerScan" hätte ich auch gerne eine Erklärung. Ist das eine Hardware, die nach Keylogger-Software sucht oder umgekehrt? Und wie soll sowas funktionieren? MD5-Summen kannst du sicherlich von Debian anlegen lassen. Da man die entsprechenden Teile allerdings auch read-only mounten kann, wären die MD5-Summen nur im Falle eines Exploits von Nöten. Um sowas effektiv zu umgehen könnte man vielleicht Hardware einsetzen, die nur das Lesen von einem Gerät erlaubt. > Hat jemand soetwas oder etwas ähnliches, abgesehen von Punkt 1, bereits > einem für ein Debian-System umgesetzt? Falls ja, würde es mich sehr > interessieren wie. Ich muß zugeben, dass ich so etwas noch nicht einmal ansatzweise umgesetzt habe. Ich bin mir auch nicht ganz im Klaren darüber, was das alles bringen soll. Bei der standard-Rechtevergabe kann der Nutzer eines Debian-Systems nur auf seine Dateien in /tmp und in seinem Homedir zugreifen, wobei die Platzbelegung afaik auch noch durch disk-quotas beschränkt werden kann. Der Benutzer hat also im Normalfall keine Möglichkeit, mehr als nur seinen Account zu beschädigen. Sollen die Schädigungsmöglichkeiten im Falle eines Exploits beschränkt werden, kann man vielleicht noch root seiner Rechte berauben oder auch root umbenennen. Das grenzt aber wohl ehr an Perversion als an Paranoia - da ist ehr das rechtzeitige Einspielen von Patches/Updates angesagt. Die Security-Updates für Debian Stable haben wohl den Ruf sehr gut, pünktlich und einfach durchführbar zu sein. Wenn die gesicherten Daten gegen physikalischen Zugriff gesichert werden sollen, könnte CFS evtl. hilfreich sein. Bei ärgeren Befürchtungen könnte man auch diskless Clients bauen und alles NFS-mounten. Ich sehe für mich keine Notwendigkeit solche Maßnamen umzusetzen - was nicht heist, dass es mich nicht interessiert. Ich hoffe jedoch, ich habe dir einige gute Stichpunkte zum googlen gegeben. Interessieren würde mich auch noch, in was für einer Umgebung die so gesicherten Rechner stehen sollen. Christian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)