Sichere Mail-/Surfstation durch Weglassen diverser Kernelmodule?
Maximilian Wilhelm
max at rfc2324.org
Thu May 12 13:32:29 CEST 2005
Am Donnerstag, den 12. Mai hub peter.voigt1 at gmx.net folgendes in die Tasten:
Hi Peter!
> Als andere Möglichkeit fasse ich derzeit ins Auge, ein
> per CD bootbares Debian aufzusetzen und dabei die
> Benutzung der Platte auszuschliessen.
> Eine bootbare CD läßt sich unter Debian mit cdbootwrite
> mit geringem Aufwand aufsetzen.
> Ich denke daran, einen Kernel einzusetzen, bei dem sowohl
> die Unterstützung für das Nachladen von Kernelmodulen als
> auch die Unterstützung für Harddisks ausgeschaltet ist.
> Eine Ramdisk oder eine Datei soll als Swap dienen.
Aehm wieso willst Du den swap in eine RAMdisk legen?
Das finde ich irgendwie sinnfrei.
Da ist es *wesentlich* pfiffiger den Speicher gleich direkt zu nutzen.
Und Swappen in Datei auf der Platte hast Du ja durch ausknipsen der
plattentreiber ausgeschlossen.
> Ein etwaiger Angreifer soll nicht mehr Schaden anrichten
> können, als den Rechner für die Dauer der Sitzung übernehmen
> zu können.
Meinst mit Sitzung reboot-cycle?
> Er sollte auch nicht in der Lage sein, vorhandene Daten
> auf der Festplatte auszuspähen.
Wenn kein Treiber da ist wuerde ich das mal als gegeben abhaken :)
> Der Nachteil, keinen Download auf der Platte abspeichern zu
> können, wäre natürlich in Kauf zu nehmen.
Wie waers mit 20-30 MB RAMdisk dafuer und ne Diskette/ZIP-Disk o.ae.?
> Wären weitere Vorkehrungen zu treffen, um die geschilderten
> Ziele zu erreichen?
Monolitischer Kern ist schonmal ganz nett, macht die Kiste aber nicht
unknackbar (/dev/kmem und so).
Wenn die Kiste keinen oder nur sehr wenig beschreibbaren Speicherplatz
hat ist das auch ein Schritt in die richtige Richtung.
Du solltest dann auch vermeiden Software a la gcc, ssh, tar usw. zu
installieren, damit man sich nicht $l33t-h4x0r-tO0lz runterladen kann.
Den Mozilla o.ae. im Kiosk-Mode zu starten koennt auch nett sein.
HTH
Ciao
Max
--
| | Follow the white penguin.
| |\/| | |-----------------------------------------------------------.
| | |/\| | Rechnerbetrieb Mathematik | Meine Baustellen: TSM |
| | Universitaet Paderborn | Hostmaster, Linux, LDAP |
More information about the Linux
mailing list