Sichere Mail-/Surfstation durch Weglassen diverser Kernelmodule?

Maximilian Wilhelm max at rfc2324.org
Thu May 12 13:32:29 CEST 2005 

Am Donnerstag, den 12. Mai hub peter.voigt1 at gmx.net folgendes in die Tasten:

Hi Peter!

> Als andere Möglichkeit fasse ich derzeit ins Auge, ein 
> per CD bootbares Debian aufzusetzen und dabei die 
> Benutzung der Platte auszuschliessen.

> Eine bootbare CD läßt sich unter Debian mit cdbootwrite
> mit geringem Aufwand aufsetzen.

> Ich denke daran, einen Kernel einzusetzen, bei dem sowohl 
> die Unterstützung für das Nachladen von Kernelmodulen als 
> auch die Unterstützung für Harddisks ausgeschaltet ist. 

> Eine Ramdisk oder eine Datei soll als Swap dienen.

Aehm wieso willst Du den swap in eine RAMdisk legen?
Das finde ich irgendwie sinnfrei.
Da ist es *wesentlich* pfiffiger den Speicher gleich direkt zu nutzen.

Und Swappen in Datei auf der Platte hast Du ja durch ausknipsen der
plattentreiber ausgeschlossen.

> Ein etwaiger Angreifer soll nicht mehr Schaden anrichten 
> können, als den Rechner für die Dauer der Sitzung übernehmen
> zu können.

Meinst mit Sitzung reboot-cycle?

> Er sollte auch nicht in der Lage sein, vorhandene Daten
> auf der Festplatte auszuspähen.

Wenn kein Treiber da ist wuerde ich das mal als gegeben abhaken :)

> Der Nachteil, keinen Download auf der Platte abspeichern zu
> können, wäre natürlich in Kauf zu nehmen.

Wie waers mit 20-30 MB RAMdisk dafuer und ne Diskette/ZIP-Disk o.ae.?

> Wären weitere Vorkehrungen zu treffen, um die geschilderten
> Ziele zu erreichen?

Monolitischer Kern ist schonmal ganz nett, macht die Kiste aber nicht
unknackbar (/dev/kmem und so).
Wenn die Kiste keinen oder nur sehr wenig beschreibbaren Speicherplatz
hat ist das auch ein Schritt in die richtige Richtung.

Du solltest dann auch vermeiden Software a la gcc, ssh, tar usw. zu
installieren, damit man sich nicht $l33t-h4x0r-tO0lz runterladen kann.

Den Mozilla o.ae. im Kiosk-Mode zu starten koennt auch nett sein.

HTH
Ciao
Max
-- 
|           |                 Follow the white penguin.
|  |\/|  |  |-----------------------------------------------------------.
|  |  |/\|  |  Rechnerbetrieb Mathematik  |   Meine Baustellen:  TSM    |
|           |  Universitaet Paderborn     |   Hostmaster, Linux, LDAP   |

More information about the Linux mailing list