|
|
27.11.2009, 14:03
|
#1 |
|
rm -rf /*
Registrierungsdatum: Jun 2008
Ort: Bremen
Beiträge: 1.078
|
GELI und Paranoia
Ich stehe vor folgender Situation: Es gilt einen FreeBSD aufzusetzen das sicher ist unter der Annahme das ein Angreifer sich physikalischen Zugriff auf den Rechner verschafft und dabei bemerkt wird. Für den Fall das dieser Zugriff nicht bemerkt wird würde ich gerne die Hürde erhöhen. Natürlich kann ich mich nicht vor unbemerkten Hardwaremanipulationen schützen, wenn das BIOS per SMM die Keyboardeingaben loggt ist das OS dagegen (fast) schutzlos (bis aufs Timing).
Die einfachste und unsicherste Lösung wäre natürlich alle Dateisysteme bis auf "/" zu verschlüsseln dies ist mit GELI (und sogar GDBE) trivial möglich. Auf mit Zugriff "/" lässt sich jedoch ein System leicht kompromitieren. Von Klassikern wie dem Ändern von /sbin/login und gepatchten Kerneln bis hin zu Rootkits ist alles möglich. Es muss also ein Bootmedium her, dass man mit sich führen kann z.B. CF Card, USB Stick, MicroSD o.ä. Lösungen mit MFS_ROOT sind mir hier zu schlecht zu warten. Deswegen kam ich auf die Idee gmirror(8) zu zweckentfermden. Hierbei lege ich "/" auf einen Mirror aus einer Platte und füge ein mittels `geli onetime` Volumen hinzu. Anschließend wird das Bootmedium aus dem Mirror entfernt. Ich habe dies in einer VM mal durchgespielt hat auch praktisch gut geklappt. Es fehlt nurnoch ein kleines rc.d script um das zu automatisieren. Nur bei Änderungen an "/" muss das Bootmedium neu synchronisiert werden. Dies finde ich angenehmer als Images. Ich habe zuviele bekannte die sich des Öfteren ihre initrd Images zerschiessen etc. Hat jemand eine elgantere Idee dieses Ziel auf einem Laptop zu erreichen? |
|
|
|
27.11.2009, 17:15
|
#2 |
|
Registered User
Registrierungsdatum: Aug 2006
Beiträge: 297
|
Hallo Crest,
ich habe seit Oktober meinen Laptop nach der Anleitung aus dem BSDForen-Wiki komplett verschlüsselt. MFS_ROOT kommt dabei nicht zum Einsatz und sobald die verschlüsselte root gemountet ist, kannst Du den USB-Key einfach abziehen. Um die Root zu mounten muss ich das Geli-Passwort eingeben, der Key liegt dabei auf dem USB-Key (ohne USB-Key geht gar nix und selbst damit muss man noch das Passwort kennen). Bei mir liegt dann auf der Root der nächste Key für die Home-Partition (der Einfachheit halber dann ohne Passwort). Dieses System ist wirklich sehr einfach, wenn man es einmal eingerichtet hat. Gruß SolarCatcher Geändert von SolarCatcher (27.11.2009 um 17:35 Uhr). Grund: Der Link zum anderen Artikel war Blödsinn - genau das, was Du nicht willst. |
|
|
|
|
27.11.2009, 19:21
|
#3 |
|
Possessed With Psi Powers
Registrierungsdatum: Apr 2004
Ort: Schleswig-Holstein
Beiträge: 6.552
|
Für die Schlüssel schaut euch mal gshsec(8) an. Damit kann wirklich sehr elegant aus einem billigen USB-Stick einen sündteuren digitalen Schlüssel bauen. Okay, das war nun leicht vom Thema ab
__________________
Eure Tastatur verfügt nicht umsonst über zwei Shift-Tasten! Benutzt sie bitte, denn sonst ist es mir fast unmöglich euere Posts zu entziffern. Homepage: http://www.yamagi.org | Yamagi Quake II: http://www.yamagi.org/quake2
|
|
|
|
 |
| Stichworte |
| disk encryption , geli , paranoia , preboot , sicherheit |
| Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste) | |
| Themen-Optionen | |
| Ansicht | Thema bewerten |
|
|
Ähnliche Themen
|
||||
| Thema | Erstellt von | Forum | Antworten | Letzter Beitrag |
| GELI und Ata RAID | Daemotron | FreeBSD - Installation | 3 | 01.06.2009 18:51 |
| Geli & warning | bsdagent | FreeBSD - Allgemein | 11 | 27.01.2009 23:59 |
| FreeBSD 7.0 geli Partition | BoS | FreeBSD - Installation | 29 | 04.07.2008 19:19 |
| Wieso ist geli Image nicht Portable? Wo ist mein fehler? | happy | FreeBSD - Anwendungen und Ports | 10 | 03.05.2007 22:45 |
| mit Geli veschlüsselte DVD's HowTo | wowka | FreeBSD - Anwendungen und Ports | 5 | 01.08.2006 21:36 |
Linear-Darstellung
