Grafikausgabe abklemmen

[ed1949]

Hallo,

Kennt jemand eine Moeglichkeit, bei FreeBSD 5/6 die Grafikausgabe komplett abzuklemmen, sodass keine Kernel-Ausgaben, Panics oder der Bootvorgang dort zu sehen ist? Idealerweise wuerde ich gerne atkbc, atkb, vga und sc gar nicht mehr mit reinkompilieren, aber dann bootet der neue Kernel gar nicht mehr. Die Maschine ist ein Root-Server, an den ich eh nur per Netzwerk rankomme und meinen Provider gehen Meldungen wie "pid 1177 (tor), uid 1900 inumber 141724 on /var/jails/anonymizer: filesystem full" nunmal nichts an.

 

[k3rn3lpanic]

Wenn es sich um einen Root-Server handelt, dann ist es sogar sehr wahrscheinlich, dass das Geraet gar keinen VGA-Port hat. Und selbst wenn, dann haengt definitiv kein Monitor dran.

 

[ed1949]

Trotzdem waere es mir lieber, wenn ich die unnoetigen Devices lahmlegen kann, sodass keine Informationen raus-/reinkommen. Oder dass ich zumindest den Loader/Kernel ueberzeugen kann, von VGA ausgaben Abstand zu nehmen.

 

[dettus]

man syslogd
man dmesg

bei den besseren rootserver-providern hast du meistens auch noch eine serielle konsole. auf diese kannst du bei den meisten unixen die ausgabe umleiten.
bei openbsd funktioniert das durch ein einfaches

% echo "set tty com0" >/etc/boot.conf

und irgendwie muss das auch unter freebsd klappen.

 

[marty]

Hmm, diese PID Meldungen... kommen diese via syslog, der dies dann einfach auf die Console schreibt? Wenn ja, einfach syslog umkonfigurieren.

 

[ed1949]

Einen Teil der Meldungen (PID) bekommt man weg indem man die /dev/console Zeile aus dem syslog.conf entfernt. Leider nicht alles. Der Provider Supported eh nur Linux und hat auch keine serielle Konsole, wobei ich diese auch nicht haben moechte (Ein Zugang mehr auf den man aufpassen muss und der Informationen verbreitet).

 

[nakal]

Wozu ist bei Dir eine Grafikkarte eingebaut? Brauchst Du die unbedingt?

 

[-Daemon-]

...Brauchst Du die unbedingt?

Aus der Fragestellung geht hervor, das eine Grafikkarte nicht gerbaucht wird.

 

[nakal]

Aus der Fragestellung geht hervor, das eine Grafikkarte nicht gerbaucht wird.

Also für mich heißt VGA "video graphics adapter". Aber mag sein, dass die Frage etwas unverständlich ist.

 

[ed1949]

Wie -Daemon- schon bemerkt hat brauche ich die Karte nicht. Da es sich aber um einen Root(=Miet)-Server von der Stange handelt, kann ich mir das nicht aussuchen. Ich moechte jetzt verhindern, dass irgend ein Interna meiner Installation nach aussen leckt. Der Idealfall waere, dass man die Devices abklemmen kann -> Kein Geraetetreiber, keine Ein-/Ausgabe.

Die Platten sind verschluesselt und bis auf ein Zeitfenster von max. 2 Minuten beim booten, sollte der Server sehr dicht sein. Dumm waere es wenn bei einer Panic jetzt zum Beispiel der Plattenschluessel auf die VGA Konsole leckt...

 

[Kamikaze]

Wo nimmt das System die Schlüssel eigentlich her, wenn es bootet?

 

[dettus]

eigentlich ist das "abklemmen" der graphikausgabe ganz einfach.

du musst dir nur mal die kernel-config genauer angucken.
und wozu gibt es schliesslich qemu?

trotzdem schliesse ich mich kamikaze an: wo nimmt das system die plattenschluessel her?
oder mountest du die sachen nach dem booten von hand per ssh-konsole?

was genau hast du eigentlich mit der kiste vor, dass die ueberhaupt verschluesselt sein muss? denk dran: bei einem plattencrash kann das ziemlich schnell alle deine daten in den abgrund reissen...

 

[ed1949]

Ich habe schon versucht die folgenden Zeilen - in diversen Permutationen - rauszunehmen. Effekt ist, dass das System dann nicht mehr hochfaehrt:

device          atkbdc
device          atkbd
device          vga
device          sc

Es wird erst ein Basissystem hochgefahren. Dieses erlaubt fuer einen bestimmten Zeitraum das Umschalten auf das Produktivsystem (per Passphrase). Dabei ist die Verwundbare Phase die Bootzeit: Sollte es jemandem gelingen ein Bootimage unterzuschieben, welches nicht erkennbar unterschiedlich zum Original ist, oder eine Backdoor ins Original einzubauen, ist das Thema erledigt. Deshalb muss das Zeitfenster sehr kurz sein. Ausserdem mach ich immer ein paar Checks vor dem Eingeben der Passphrase.

Auf dem System laufen diverse Anonymisierungsdienste. Das ist IMHO nur dann Sinnvoll, wenn nicht jeder an die Services und deren Logs rankommt. Das Adminsystem ist natuerlich auch abgesichert - sogar noch besser.

 

[dettus]

andere moeglichkeit:
du schmeisst alle printf-anweisungen aus dem kernel raus!

btw: ich kann mir schon ungefaehr denken was du vorhast... aber denk dran: der angewandte paranoiker nimmt openbsd. ;-)

 

[ed1949]

Alle printf rauwerfen ist natuerlich die harte Methode. Ab und zu ist die Kernel Ausgabe aber doch recht sinnvoll - im Logfile.

 

[marty]

aber denk dran: der angewandte paranoiker nimmt openbsd. ;-)

oder stell die Kiste bei dir zu Hause hin und bestell eine gescheite Anbindung, kostet halt nur eine ganze Ecke mehr...

 

[Manga]

könnte man nich im Kernel die Schriftfarbe ändern?

 

[dettus]

rotfl!

jupp!
das ist genau die loesung die marty moechte!

aber vorsicht! dann koennen SIE noch immer den speicher der grafikkarte anzapfen ;-)

 

[Yamagi]

aber vorsicht! dann koennen SIE noch immer den speicher der grafikkarte anzapfen ;-)

Wenn man 2 oder 3 Metallkleiderbügel über das rack hängt, ist das wenigsten per Satellit oder Gedankenstrahler nicht mehr möglich.

 

[ed1949]

@dettus: Zum Speicher anzapfen mal eine Anmerkung: Ich habe mal ein Geraet mit DRAM ein paar Stunden betrieben, ohne zu bemerken, dass der Refresh des Memorycontrollers nicht an war. Versuche haben dann gezeigt, dass manche DRAMs ihren Inhalt auch ohne Refresh extrem lange halten koennen. Das wird natuerlich vom Hersteller nicht garantiert, ist aber durchaus interessant. Ich glaube aber nicht, dass der Effekt in der Computerforensik schon genutzt werden kann.