• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Grafikausgabe abklemmen

ed1949

Well-Known Member
Themenstarter #1
Hallo,

Kennt jemand eine Moeglichkeit, bei FreeBSD 5/6 die Grafikausgabe komplett abzuklemmen, sodass keine Kernel-Ausgaben, Panics oder der Bootvorgang dort zu sehen ist? Idealerweise wuerde ich gerne atkbc, atkb, vga und sc gar nicht mehr mit reinkompilieren, aber dann bootet der neue Kernel gar nicht mehr. Die Maschine ist ein Root-Server, an den ich eh nur per Netzwerk rankomme und meinen Provider gehen Meldungen wie "pid 1177 (tor), uid 1900 inumber 141724 on /var/jails/anonymizer: filesystem full" nunmal nichts an.
 

k3rn3lpanic

Unregistered User
#2
Wenn es sich um einen Root-Server handelt, dann ist es sogar sehr wahrscheinlich, dass das Geraet gar keinen VGA-Port hat. Und selbst wenn, dann haengt definitiv kein Monitor dran.
 

ed1949

Well-Known Member
Themenstarter #3
Trotzdem waere es mir lieber, wenn ich die unnoetigen Devices lahmlegen kann, sodass keine Informationen raus-/reinkommen. Oder dass ich zumindest den Loader/Kernel ueberzeugen kann, von VGA ausgaben Abstand zu nehmen.
 

dettus

Bicycle User
#4
man syslogd
man dmesg

bei den besseren rootserver-providern hast du meistens auch noch eine serielle konsole. auf diese kannst du bei den meisten unixen die ausgabe umleiten.
bei openbsd funktioniert das durch ein einfaches

Code:
% echo "set tty com0" >/etc/boot.conf
und irgendwie muss das auch unter freebsd klappen.
 

marty

Corsafahrer
#5
Hmm, diese PID Meldungen... kommen diese via syslog, der dies dann einfach auf die Console schreibt? Wenn ja, einfach syslog umkonfigurieren.
 

ed1949

Well-Known Member
Themenstarter #6
Einen Teil der Meldungen (PID) bekommt man weg indem man die /dev/console Zeile aus dem syslog.conf entfernt. Leider nicht alles. Der Provider Supported eh nur Linux und hat auch keine serielle Konsole, wobei ich diese auch nicht haben moechte (Ein Zugang mehr auf den man aufpassen muss und der Informationen verbreitet).
 

ed1949

Well-Known Member
Themenstarter #10
Wie -Daemon- schon bemerkt hat brauche ich die Karte nicht. Da es sich aber um einen Root(=Miet)-Server von der Stange handelt, kann ich mir das nicht aussuchen. Ich moechte jetzt verhindern, dass irgend ein Interna meiner Installation nach aussen leckt. Der Idealfall waere, dass man die Devices abklemmen kann -> Kein Geraetetreiber, keine Ein-/Ausgabe.

Die Platten sind verschluesselt und bis auf ein Zeitfenster von max. 2 Minuten beim booten, sollte der Server sehr dicht sein. Dumm waere es wenn bei einer Panic jetzt zum Beispiel der Plattenschluessel auf die VGA Konsole leckt...
 

dettus

Bicycle User
#12
eigentlich ist das "abklemmen" der graphikausgabe ganz einfach.

du musst dir nur mal die kernel-config genauer angucken.
und wozu gibt es schliesslich qemu?

trotzdem schliesse ich mich kamikaze an: wo nimmt das system die plattenschluessel her?
oder mountest du die sachen nach dem booten von hand per ssh-konsole?

was genau hast du eigentlich mit der kiste vor, dass die ueberhaupt verschluesselt sein muss? denk dran: bei einem plattencrash kann das ziemlich schnell alle deine daten in den abgrund reissen...
 

ed1949

Well-Known Member
Themenstarter #13
Ich habe schon versucht die folgenden Zeilen - in diversen Permutationen - rauszunehmen. Effekt ist, dass das System dann nicht mehr hochfaehrt:
Code:
device          atkbdc
device          atkbd
device          vga
device          sc
Es wird erst ein Basissystem hochgefahren. Dieses erlaubt fuer einen bestimmten Zeitraum das Umschalten auf das Produktivsystem (per Passphrase). Dabei ist die Verwundbare Phase die Bootzeit: Sollte es jemandem gelingen ein Bootimage unterzuschieben, welches nicht erkennbar unterschiedlich zum Original ist, oder eine Backdoor ins Original einzubauen, ist das Thema erledigt. Deshalb muss das Zeitfenster sehr kurz sein. Ausserdem mach ich immer ein paar Checks vor dem Eingeben der Passphrase.

Auf dem System laufen diverse Anonymisierungsdienste. Das ist IMHO nur dann Sinnvoll, wenn nicht jeder an die Services und deren Logs rankommt. Das Adminsystem ist natuerlich auch abgesichert - sogar noch besser.
 

dettus

Bicycle User
#14
andere moeglichkeit:
du schmeisst alle printf-anweisungen aus dem kernel raus!

btw: ich kann mir schon ungefaehr denken was du vorhast... aber denk dran: der angewandte paranoiker nimmt openbsd. ;-)
 

ed1949

Well-Known Member
Themenstarter #15
Alle printf rauwerfen ist natuerlich die harte Methode. Ab und zu ist die Kernel Ausgabe aber doch recht sinnvoll - im Logfile.
 

dettus

Bicycle User
#18
rotfl!

jupp!
das ist genau die loesung die marty moechte!

aber vorsicht! dann koennen SIE noch immer den speicher der grafikkarte anzapfen ;-)
 

ed1949

Well-Known Member
Themenstarter #20
@dettus: Zum Speicher anzapfen mal eine Anmerkung: Ich habe mal ein Geraet mit DRAM ein paar Stunden betrieben, ohne zu bemerken, dass der Refresh des Memorycontrollers nicht an war. Versuche haben dann gezeigt, dass manche DRAMs ihren Inhalt auch ohne Refresh extrem lange halten koennen. Das wird natuerlich vom Hersteller nicht garantiert, ist aber durchaus interessant. Ich glaube aber nicht, dass der Effekt in der Computerforensik schon genutzt werden kann.