Ubuntu og sikkerhet

[kyrsjo]

Har du fysisk tilgang, så har du tilgang. Som forhenværende skole-admin påstår jeg å kunne litt om fysisk sikkerhet, så her er mine erfaringer:

 

1. Sørg for at maskinen er fysisk låst slik at man må åpne en hengelås for å komme inn i kabinettet

2. Skru av oppstart fra alt annet enn harddisk, sett bios-passord. #1 sørger for at bios-passord ikke lar seg resette.

 

Oppstart fra løse medier er nå umuliggjort. Dette er "hull" #1, og er umulig å beskytte seg mot uten nevnte tiltak. Røsk-ut-HDD-og-mount-i-en-annen-maskin-trikset er også fjerna.

 

Disse to gjelder uansett OS (med mindre du har krypterte disker... Men i såfall hindrer de folk som leker seg med partisjoneringsprogram)

 

3. Har du tilgang til kommandolinja eller "edit boot parameters" i grub, kan du be systemet starte til init 1 uten å be om root-passord ved å slenge single på kommandolinja. Jeg vil annta at det er dette "recovery mode" i ubuntu er. Effekten er uansett den samme som å starte fra en linux-cd, rent bortsett fra at man slipper å styre med å montere og chroote.

 

Løsning: Grub-passord.

 

Dersom "recovery mode" oppføring i grub, kommenter ut denne i /etc/init.d/grub.conf

 

Forøvrig: DOS-baserte operativsystemer gir fulle rettigheter til alle brukere. Disse er derfor fy-fy å ha i dual-boot.

 

Det skal nå ikke være mulig å komme seg inn i maskinen ved å manipulere oppstarten, den er låst. Resten går da stort sett på gode passord, samt å holde ting oppdatert. Dersom flere operativsystemer kjører på samme maskin, kan man f.eks. bruke et hull i windows til å kompromittere linux-partisjonen. Så i så fall må man være ekstra påpasselig.

 

Forøvrig vil jeg si at problemet du skisserte med at man har glemt passord til første bruker (som har sudo-rettigheter) ikke er så unikt. Man havner jo i akkurat like mye trøbbel i andre distroer om man glemmer root-passordet. Eneste er at nye brukere kanskje kunne vært gjort mer oppmerksom på hvordan sudo fungerer, og hvordan en gir nye brukere disse rettighetene.

7412180[/snapback]

Personlig synes jeg egentlig at sudo er litt forhistorisk. Etter å ha fått litt erfaring med Solaris, så ser jeg egentlig hvor upraktisk og usikkert sudo er. I Solaris kan man enkelt delegere admin-oppgaver til forskjellige brukere. Noen kan være databaseadmin, andre kan være zone-admin (containers), og atter andre kan være filsystem-admins osv. Dette fungerer faktisk ganske bra. Og i Trusted Solaris er det til og med tatt høyde for at hovedadmins kan være illojale. Trodde virkelig at et sånt stygt sikkerhetshull var tettet for lengst. Jeg kaller det stygt siden jeg er vant med OS der man er tvunget til å oppgi root-passord. Under installasjonen er det umulig å ikke huske på, det blir ganske tydelig poengtert.

7412205[/snapback]

 

Uten å banne på det, så skal dette være mulig med sudo (gi tilgang til enkelte root-kommandoer til enkelte brukere/grupper).

[stigfjel]

@krysjo: jeg tror neppe den jevne Ubuntu-bruker hadde vært i stand til å tenke på noe slikt som dette. De fleste som tar i bruk Ubuntu er nybegynnere, folk som aldri har vært borti GNU/Linux før. Ser at du har en del erfaring, og det har også en del andre brukere her som benytter Ubuntu. Men det er mange andre som ikke har det, og da er et slikt hull neppe gunstig. Klart det finnes mange måter å sikre maskinen på, og de bør benyttes hvis man vil forhindre sabotasje. Men en del av disse tingene er ikke nybegynnere klar over.

 

Uten å banne på det, så skal dette være mulig med sudo (gi tilgang til enkelte root-kommandoer til enkelte brukere/grupper).

Jada, det er mulig å gi tilgang til enkelte root-kommandoer til enkelte grupper. Men da må man ta for seg kommando for kommando, og dette kan være tidkrevende. En databaseadmin kan kanskje ha behov for mer enn en kommando. Dette er mye lettere å holde styr på i Solaris med deres rollebaserte tilgangskontroll. Her kan man lese mer om admin-roller i Solaris.

[trrunde]

Jada, det er mulig å gi tilgang til enkelte root-kommandoer til enkelte grupper. Men da må man ta for seg kommando for kommando, og dette kan være tidkrevende. En databaseadmin kan kanskje ha behov for mer enn en kommando. Dette er mye lettere å holde styr på i Solaris med deres rollebaserte tilgangskontroll. Her kan man lese mer om admin-roller i Solaris.

7413715[/snapback]

 

Hvordan gjøres dette?

[krislarsen]

Uansett er det veldig vanskelig å beskytte en PC 100% mot uvedkommende som har fysisk tilgang, så for maksimum sikkerhet bør man kanskje satse på krypterte filsystem, som en nevnte tidligere i tråden. Dette har vel blitt stadig mer aktuelt siden så mange benytter bærbare PCer som lettere kan bli stjålet.

7412312[/snapback]

Det er det helt klart. Poenget her er å gjøre det så vanskelig som mulig for uærlige personer å gjøre noe tull.

7412321[/snapback]

Det er nok ingen annen sikker metode enn kryptering av filsystemet.. Det tar ikke mange sekundene å åpne et kabinett og koble disken til en bærbar pc. Sannsynligvis går dette fortere enn å komme inn i recovery-modus i Ubuntu...

[comicz]

stigfjel: Slack er da like åpent som alt annet. Har man fysisk tilgang kan man boote fra CD/USB-pen/via nettverk og ordne, evt. sette nytt passord om man vil, om man da ikke bare tar ut disken, monterer den opp på sin egen maskin og setter nytt passord. Slackware er like åpent som alt annet, men jeg er fullstendig enig i at det er litt rart å tillate tilgangen uten passord i det tilfellet. Jeg vil ikke kalle det et sikkerhetshull i den forstand... Grub m/passord + krypterte filsystemer er eneste løsning om du vil ha det sikkert også ved fysisk aksess.

[kyrsjo]

@krysjo: jeg tror neppe den jevne Ubuntu-bruker hadde vært i stand til å tenke på noe slikt som dette. De fleste som tar i bruk Ubuntu er nybegynnere, folk som aldri har vært borti GNU/Linux før. Ser at du har en del erfaring, og det har også en del andre brukere her som benytter Ubuntu. Men det er mange andre som ikke har det, og da er et slikt hull neppe gunstig. Klart det finnes mange måter å sikre maskinen på, og de bør benyttes hvis man vil forhindre sabotasje. Men en del av disse tingene er ikke nybegynnere klar over.

 

Uten å banne på det, så skal dette være mulig med sudo (gi tilgang til enkelte root-kommandoer til enkelte brukere/grupper).

Jada, det er mulig å gi tilgang til enkelte root-kommandoer til enkelte grupper. Men da må man ta for seg kommando for kommando, og dette kan være tidkrevende. En databaseadmin kan kanskje ha behov for mer enn en kommando. Dette er mye lettere å holde styr på i Solaris med deres rollebaserte tilgangskontroll. Her kan man lese mer om admin-roller i Solaris.

7413715[/snapback]

 

"normale personer"/nybegynnere låser ikke kabinettet sitt, og setter ikke boot-passord uansett, så med mindre du argumenterer for å installere med kryptert filsystem som default, så er poenget ditt lite... Herregud, selv ikke jeg gjør det på hjemmemaskinen min, låser den ned etc. Selv om jeg faktisk har et sett med nøkler til å låse kabinettet...

 

For hjemmebrukere er det nettverkssikkerhet som teller.

 

Instutisjoner hvor fysisk sikkerhet er et problem, bør uansett ha personer som er kompetente nok til å tenke den tankerekka jeg la ut, og ta ditto forholdsregler.

[stigfjel]

Man kan alltids skaffe seg tilgang på en eller annen måte hvis man har fysisk aksess til maskinen. Men når det kreves et root-passord for å komme inn i singel user mode, blir dette med en gang mer tungvint. Slik det er i ubuntu i dag, er det kjempeenkelt for en sabotør å gjøre ugagn. Hvis ikke brukeren spesifikt har tettet igjen som beskrevet overfor, er det bare å gå rett inn i recovery mode, eller singel user mode om man vil, og systemet er som en åpen bok.

[kyrsjo]

og forskjellen fra enhver annen distro er? At man kan klikke i en meny istedet for å trykke "e" to ganger og legge til single, for så å trykke "b" (fedora)?

 

Kjenner ikke så mange andre distroer "intimt", men vil anta at det er på mer eller mindre samme måten...

[iDude]

fysisk tilgang = tilgang. Mur maskinen inne om du vil være sikker

[krislarsen]

Man kan alltids skaffe seg tilgang på en eller annen måte hvis man har fysisk aksess til maskinen. Men når det kreves et root-passord for å komme inn i singel user mode, blir dette med en gang mer tungvint. Slik det er i ubuntu i dag, er det kjempeenkelt for en sabotør å gjøre ugagn. Hvis ikke brukeren spesifikt har tettet igjen som beskrevet overfor, er det bare å gå rett inn i recovery mode, eller singel user mode om man vil, og systemet er som en åpen bok.

7414747[/snapback]

Jeg tror det er langt bedre at det finnes en slik mulighet (som krever fysisk tilgang til maskinen) enn at det ikke gjør det... Tenk hvor mange som glemmer passord etc. og dermed er avhengig av en snill bakdør. Riktignok bør man huske rotbrukerens passord, men...

 

Det som er litt rart er at man må skrive passord for å logge på fysisk på maskinen som eneste bruker, når man ikke må ha passord for rescue-modus. Men for min del lar jeg maskinen kjøre direkte inn til desktop uansett, slik at jeg ikke behøver å stresse med passord annet enn når det faktisk er nødvendig med rottilgang.

 

Kanskje det kunne vært en idé å la rescue modus stå lenge (f.eks. 5 timer) med stor rød skrift på skjermen hvor det fortelles hva som er iferd med å skje + nedtelling til rescue modus er klar, slik at en slyngel ikke kan komme inn som rot iløpet av sekunder. Sikkert ganske så plagsomt hvis man har edle hensikter, men mye bedre enn å ikke kunne redde ting uten passord overhodet.

[kyrsjo]

Evt. gjøre det lett å deaktivere med GUI. Jeg vil tro det skal sånn ca. 10 linjer perl til for å gjøre det, var i allefall noe sånt det scriptet vi brukte for å rydde opp i grub.conf (slette gamle oppføringer, men ikke den nyeste og ikke windows dersom dette var installert) var. Pluss gui-kode da.