[EasyLinux-Suse] Gedanke zu Sicherheit

[Matthias Müller]

Hallo Anka,

Am Dienstag, 6. März 2007 17:06 schrieb Anka Pflugbeil:
> Hallihallöchen - Linux gilt ja als potenziell sicheres Betriebssystem
> (sicherer als manch anderes auf jeden Fall)
Naja, hast ja einige Meinungen gelesen. Es ist nicht so exponiert wie 
Windows, aber sonst

> Aber ausgerechnet der Neuling in meiner AG hat mich auf etwas
> gebracht, an das ich so noch nie gedacht habe:
> Jeder, der einen Installations-CD oder DVD besitzt und nur eine wenig
> Ahnung von den Zusammenhängen hat, kann den Computer davon booten,
> die Installation oder ein Update laufen lassen und dabei ein neues
> Root-Passwort setzen. Oder sehe ich das falsch?
> Selbst wenn im Bios keine Bootsequenz für das CD/DVD-Laufwerk ein
> gestellt ist und das Bios mit einem zusätzlichen Passwort geschützt
> ist, ist das kein grosses Hindernis. Die Masterpasswörter für das
> Phoenix-Bios in meinem Computer habe ich innerhalb weniger Minuten
> gehabt.
> Gibt es überhaupt keinen Schutz, wenn jemand zu solchen Mitteln
> greift?
Jein
Es gibt Software, die verschlüsseln die gesamte Platte, zB SafeGuard 
Easy. Diese Software kommt bei uns in der Firma auf alle CAD-Rechner.
Damit hat ein Angreifer erst mal die Hürde, nach dem Booten, dass er 
sich nicht anmelden kann, weil er ein Passwort braucht um an SafeGuard 
vorbei zu kommen. Hilft natürlich nix, wenn das Passwort unter der 
Tastatur klebt, oder der Helpdesk eines hat, dass überall rumposaunt 
wird. 
<Ironie>
Aber das macht ja keiner, jeder vergibt sichere Passwörter (absolutes 
Minimum 8 Zeichen, Sonderzeichen, Buchstaben, Ziffern gemischt, hmm 
mindesten 14 Zeichen, sonst reichts nicht)
</Ironie>

Die Sache mit den Passwörtern gilt natürlich auch für das BIOS. Das 
sichert ja auch jeder Admin sofort, nach der Erstinstallation. Und dann 
natürlich, das Bootdevice auf HD und die CD/DVD/Floppy (bei alten 
Rechnern) am besten entfernen. Dann muss erstmal das Passwort fürs BIOS 
überwunden werden, wenn man die CD/DVD/Floppy wieder als Bootdevice 
aktivieren will.

Achja, früher gab es mal die Möglichkeit ein sogenanntes Boot-Passwort 
zu setzen. Wenn man das nicht eingab hat der Rechner nicht gebootet. 
(Bei IBM-Rechnern? Weiß nicht mehr.)

Hilft natürlich auch nicht, wenn der Rechner aufgeschraubt wird und die 
Platte ausgetauscht wird, aber dann sind ja die Daten nicht mehr da, 
weil verschlüsselt (per SafeGuard oder Krypto-FS)

Sicherheit ist ein Prozess, kein Feature!

-- 
Mit freundlichen Grüßen
Matthias Müller (Benutzer #439779 im Linux-Counter 
http://counter.li.org)
PS: Bitte senden Sie als Antwort auf meine E-Mails reine 
Text-Nachrichten!
Siehe auch: http://www.gnu.org/philosophy/no-word-attachments.de.html
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 481 bytes
Beschreibung: nicht verfügbar
URL         : http://www.easylinux.de/pipermail/suse/attachments/20070306/ac7513be/attachment.pgp