Sichere Mail-/Surfstation durch Weglassen diverser Kernelmodule?

[Thomas Niesel]

On Thu, May 12, 2005 at 06:28:49PM +0200, Jan-Benedict Glaw wrote:
> On Thu, 2005-05-12 15:33:57 +0200, Achim Dreyer <adreyer at adreyer.de> wrote:
> > Es heisst schliesslich Unterstützung, d.h. die komfort-schnittstellen sind nicht verfügbar.
> > Low-level (mit debugger etc.) geht aber meist noch, also nicht die Standard-Module 
> > sondern modifizierte Treiber nutzen. Frage ist wieviel Aufwand der Angreifer treiben will.
> > Hier könnte es helfen wenn Mandatory Access Listen aktiviert sind (SELinux).
> 
> Nicht vergessen: viele moderne Laptops haben IEEE1394. Damit ist jeder,
> der ein Kabel anschließen kann, root, es sei denn, phys_dma=0 wird dem
> ohci1394-Modul mitgegeben...

Man sollte bei der Diskussion nicht vergessen, das es darum geht die "Kiste" sicher zu machen
und nicht darum wie es denn doch mo:glich ist das Teil zu knacken. Muss man aber beachten :)

Als erste Betrachtung (in Richtung "Sicher") ist doch wohl die Analyse der "Jetzt" Situation.
Wenn man WinDumm einsetzt _kann_ es doch nur besser werden _das_ zu a:ndern.
Das Linux allein nicht als Allheilmittel zu verstehen ist, zeigen ja schon alleine die Antworten
hier auf der Liste mit den verbundenen Mo:glichkeiten.

Wo ein Wille ist, ist auch ein Weg und der gilt IMHO in beide Richtungen.

Wer an Daten rankommen will, der schafft es auch; irgendwann.
Ob der Aufwand lohnt ist ein anderes Thema.

Auf der anderen Seite sollte man die Kirche im Dorf lassen. Wieviel Zeit kostet es _die_ Lo:sung zu
finden bzw. zu implementieren um dann doch wieder festzustellen, dass jemand doch eine 
kryptische Mo:glichkeit gefunden hat ein modul zu laden, die Festplatte zu beschreiben usw..

Wenn ich das Hintergrundwissen von JBG ha:tte, wu:rde ich als Sicher die Kiste ohne Strom ansehen :)


 
-- 
Tho/\/\as