Sorry sehe die gravierende Sicherheitslücke nicht

Wenn ich sowieso physischen Zugriff auf den Rechner habe, kann ich sowieso alles machen (Bootcd, Ausbau der Festplatte, usw.)
Also ist auch ein funktionierender Passwortschutz nur ein geringer Schutz

Aber sicherlich ein dummer Fehler in Grub

ACK.

Teilstring (min. ein Zeichen) des Passwortes genügt um sich einzuloggen!

Paedeyxcv schrieb:
--------------------------------------------------------------------------------
> Wenn ich sowieso physischen Zugriff auf den Rechner habe, kann ich sowieso
> alles machen (Bootcd, Ausbau der Festplatte, usw.)

Boot CD geht nur wenn das BIOS das erlaubt (Passwort geschützt), fehlende Festplatte fällt auf.

> Also ist auch ein funktionierender Passwortschutz nur ein geringer Schutz

Also kann man sich Türschlösser sparen - es kommt ja sowieso jeder ans Haus ran.

> Aber sicherlich ein dummer Fehler in Grub

Kein Passwortschutz also evtl. einfach mal über boot=/yourbootimage init=/bin/sh rein und schon habe ich vollen Zugriff. Danach ein reboot und keiner weiss was los ist ("Sorry, bin an den Stecker gekommen aber ich hab' ihn wieder eingeschaltet.")

Aber okay, ist ja OSS also alles halb so schlimm ...

Wie das geht werden sie schon gelesen haben.

Die frage ist nur ob das wirklich gravierend ist wenn ich Lokal am PC sitzen muss und dann das Grub Passwort habe. Komm ich noch nicht ins System selber. Wobei das mit ner Livecd auch möglich ist wo ich schonmal davor sitze ist das die einfachere Lösung

OldFart schrieb:
--------------------------------------------------------------------------------
> Paedeyxcv schrieb:
> ---------------------------------------------------------------------------
> -----
> > Wenn ich sowieso physischen Zugriff auf den Rechner habe, kann ich
> sowieso
> > alles machen (Bootcd, Ausbau der Festplatte, usw.)
>
> Boot CD geht nur wenn das BIOS das erlaubt (Passwort geschützt), fehlende
> Festplatte fällt auf.
Bei den meisten Rechnern ist 1st Boot Device sowieso CD oder USB an sonst lässt sich das BIOS Passwort bei physischem Zugriff auch zurücksetzen und Einstellung ändern.
>
> > Also ist auch ein funktionierender Passwortschutz nur ein geringer
> Schutz
>
> Also kann man sich Türschlösser sparen - es kommt ja sowieso jeder ans Haus
> ran.
Also wenn du dein System sichern willst, dann sicherlich nicht via Passwort innerhalb von Grub. Wenn du schon einen Vergleich ziehen willst dann würde ich den Passwortschutz von Grub eher mit dem Schloss deiner Gartentüre vergleichen.
>
> > Aber sicherlich ein dummer Fehler in Grub
>
> Kein Passwortschutz also evtl. einfach mal über boot=/yourbootimage
> init=/bin/sh rein und schon habe ich vollen Zugriff. Danach ein reboot und
> keiner weiss was los ist ("Sorry, bin an den Stecker gekommen aber ich hab'
> ihn wieder eingeschaltet.")
Will ich sehen wie das klappt...
>
> Aber okay, ist ja OSS also alles halb so schlimm ...

Ein GRUB-Passwortschutz ist in etwa so lächerlich wie ein BIOS-Passwort und daher überflüssig. Wer einen Rechner vor unbefugtem Zugriff schützen will, kann das mit Encrypted LVM o.ä. weitaus besser tun (wenngleich es da auch Angriffspunkte gibt).

Paedeyxcv schrieb:
--------------------------------------------------------------------------------
> OldFart schrieb:
> ---------------------------------------------------------------------------
> -----
> > Paedeyxcv schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > Wenn ich sowieso physischen Zugriff auf den Rechner habe, kann ich
> > sowieso
> > > alles machen (Bootcd, Ausbau der Festplatte, usw.)
> >
> > Boot CD geht nur wenn das BIOS das erlaubt (Passwort geschützt),
> fehlende
> > Festplatte fällt auf.
> Bei den meisten Rechnern ist 1st Boot Device sowieso CD oder USB an sonst
> lässt sich das BIOS Passwort bei physischem Zugriff auch zurücksetzen und
> Einstellung ändern.

Du weisst das man Gehäuse in die nicht jeder rein soll auch mal mit einem Schloss sichert?
> >
> > > Also ist auch ein funktionierender Passwortschutz nur ein geringer
> > Schutz
> >
> > Also kann man sich Türschlösser sparen - es kommt ja sowieso jeder ans
> Haus
> > ran.
> Also wenn du dein System sichern willst, dann sicherlich nicht via Passwort
> innerhalb von Grub. Wenn du schon einen Vergleich ziehen willst dann würde
> ich den Passwortschutz von Grub eher mit dem Schloss deiner Gartentüre
> vergleichen.

*Wenn* ich einen Passwortschutz in Grub verwende dann habe ich einen Grund.
*Wenn* dieser Schutz dann nicht funktioniert ist das ein Totalversagen.

> > > Aber sicherlich ein dummer Fehler in Grub
> >
> > Kein Passwortschutz also evtl. einfach mal über boot=/yourbootimage
> > init=/bin/sh rein und schon habe ich vollen Zugriff. Danach ein reboot
> und
> > keiner weiss was los ist ("Sorry, bin an den Stecker gekommen aber ich
> hab'
> > ihn wieder eingeschaltet.")
> Will ich sehen wie das klappt...

Geht wunderbar. Du musst aber danach noch ein mount -w -n -o remount von / machen wenn Du schreiben willst/musst.

Mit einer 2ten / Partition, idealerweise auf einer 2ten Platte, hast Du so auch gleich ein Notfallsystem.

Wie man das am Grub Prompt macht steht in der Doku und wie man das mit mount macht steht dort auch.

Aber was schreibe ich ... Du kennst Dich ja aus ...

Nicht auf jedem Rechner, vor dem man sitzt, hat man tatsächlich physischen Zugriff. Man denke z. B. an Rechnerpools in Unis. Da sind die Gehäuse üblicherweise durch einen Alarm gesichert, der bei unbefugtem Öffnen den Admin oder Sicherheitsdienst ruft.
In so einer Situation wäre es schön blöd, wenn man das von grub vorgegebene Boot-Image austauschen kann.

Paedeyxcv schrieb:

> Bei den meisten Rechnern ist 1st Boot Device sowieso CD oder USB an

Aber nicht bei denen, die einen Passwortschutz benötigen.

Paedeyxcv schrieb:
--------------------------------------------------------------------------------
> Wenn ich sowieso physischen Zugriff auf den Rechner habe

Woher willst du das wissen? Woher weißt du, wie bei anderen die Sicherheitsvorkehrungen aussehen?

OldFart schrieb:
--------------------------------------------------------------------------------
> Paedeyxcv schrieb:
> ---------------------------------------------------------------------------
> -----
> > Wenn ich sowieso physischen Zugriff auf den Rechner habe, kann ich
> sowieso
> > alles machen (Bootcd, Ausbau der Festplatte, usw.)
>
> Boot CD geht nur wenn das BIOS das erlaubt (Passwort geschützt), fehlende
> Festplatte fällt auf.

Bei physischem Zugriff auf das Geraet kann man das BIOS resetten oder die Festplatte mitnehmen. Ob das beides auffaellt, spielt keine Rolle - Datenklau ist sowieso illegal.

> > Also ist auch ein funktionierender Passwortschutz nur ein geringer
> Schutz
>
> Also kann man sich Türschlösser sparen - es kommt ja sowieso jeder ans Haus
> ran.

Die Tuerschlosser am Haus gibt es obendrein. Denn ohne diese kommen unberechtigte gar nicht zum PC.

> > Aber sicherlich ein dummer Fehler in Grub
>
> Kein Passwortschutz also evtl. einfach mal über boot=/yourbootimage
> init=/bin/sh rein und schon habe ich vollen Zugriff. Danach ein reboot und
> keiner weiss was los ist ("Sorry, bin an den Stecker gekommen aber ich hab'
> ihn wieder eingeschaltet.")

So aehnlich funzt das in der Tat. Dennoch: Der physikalische Zugriff ist weiterhin erforderlich - der ist nicht vertrauenswuerdigen Personen sowieso in aller Regel nicht ohne Einbruch moeglich.
Wer seine Daten schuetzen muss, tut das weder mit Passwoertern im BIOS, beim Bootmanager noch beim OS, sondern er verschluesselt die Daten, bevor sie auf der Platte gespeichert werden. Das geht sogar mehrfach mit unterschiedlichen Passwoertern fuer ganz paranoide.
Ich persoenlich habe weder BIOS-, noch Bootmanager- oder Systemkennwort, aber meine Daten sind verschluesselt. Damit fahre ich seit Jahren sehr gut und sicher.

Wer sagt bitte das der First-BD meistens USB und CD ist?
Meistens HDD-0, aus dem Grund das der Rechner dann schneller bootet da er gleich auf sein OS zugriff hat.....
Aber naja ist ja logisch das ich von CD boote um verlängerte Ladenzeiten zuhaben und von USB das ich gleich eine boot.ini oder ausführen kann oder?
USB ist nur sinnvoll als first boot einzutragen, wenn der USB-Stick als RAM benutzt wird!

Statement please
p.s. USB wird manchmal bei Linux verwendet wenn es als Platte gilt, ist aber nicht verbreitet weils verbuggt ist......

OMG, lies mal bitte nach, was GRUB ist - vielleicht kommst du dann selbst drauf, warum du physischen Zugriff auf den Rechner haben MUSST, damit du jene "Sicherheitsluecke" ausnutzen kannst...
Ob die Sicherheit wirklich gefaehrdet ist, bleibt aber in der Tat fraglich - schlimmstenfalls kann man ein fremdes System u.U. sogar mit Rootrechten starten und zerstoeren, wenn man denn ohnehin am Rechner sitzt. Gescheite Admins koennen ihr gesichertes System aber meist innerhalb weniger Minuten wiederherstellen. Wichtige Daten sind auf einem ordentlichen PC in der Regel gesichert und verschluesselt. Und wenn jemand mit pyhsischem Zugriff auf den PC desses System oder Daten zerstoert, hat man keine guten Freunde oder Angehoerigen und damit andere Probleme...

Zitr0ne schrieb:
--------------------------------------------------------------------------------
> Wer sagt bitte das der First-BD meistens USB und CD ist?

Ich, denn ich stell das um, wenn ich vor dem PC sitze. Jetzt komme bitte nicht mit BIOS-Passwort - das resette ich vorher, z.B. durch Kurzschluss oder Entnahme der BIOS-Batterie oder je nach BIOS mit entsprechenden Superpasswoertern. BTW: Die meisten aktuellen BIOS-Varianten bieten zudem ein Bootmenu mit F12 oder aehnlichem an, mit dem man dann auch ohne Probleme von CD booten kann.

> Meistens HDD-0, aus dem Grund das der Rechner dann schneller bootet da er
> gleich auf sein OS zugriff hat.....
> Aber naja ist ja logisch das ich von CD boote um verlängerte Ladenzeiten
> zuhaben und von USB das ich gleich eine boot.ini oder ausführen kann oder?

Also ich wuerde dir das nicht empfehlen - Start von der ersten HDD ist immer eine gute Idee. Das aendert aber nichts - s.o.

> USB ist nur sinnvoll als first boot einzutragen, wenn der USB-Stick als RAM
> benutzt wird!

wtf?

> Statement please
> p.s. USB wird manchmal bei Linux verwendet wenn es als Platte gilt, ist
> aber nicht verbreitet weils verbuggt ist......

Nein, das ist keinesfalls verbuggt, aber sowohl viele (aeltere) BIOS-Varianten als auch viele Geraete (Sticks) unterstuetzen das Booten einfach nicht.

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> OMG, lies mal bitte nach, was GRUB ist - vielleicht kommst du dann selbst
> drauf, warum du physischen Zugriff auf den Rechner haben MUSST, damit du
> jene "Sicherheitsluecke" ausnutzen kannst...

Nein, ich komme nicht darauf. Kannst du es mir erklären?

Der Kommunist schrieb:
--------------------------------------------------------------------------------
> OMG, lies mal bitte nach, was GRUB ist - vielleicht kommst du dann selbst
> drauf, warum du physischen Zugriff auf den Rechner haben MUSST, damit du
> jene "Sicherheitsluecke" ausnutzen kannst...

Nur weil ein Rechner vielleicht in deiner Nähe steht heißt das noch lange nicht, dass du physikalischen Zugriff darauf hast.

Das "Schloss" an den Gehäusen ist jetzt nicht wirklich als "Schutz" zu sehen. Selbst wenn man hier dicke eigene nimmt. Bei Einbruch oder Diebstahl gilt, je auffälliger und penetranter desto geringer die chance das man entdeckt wird.

Sobald man physischen Zugriff auf Hardware hat, kann man diese auch manipulieren. Egal wie sicher die Software ist.

Einziger effektiver Schutz, in so einem Fall, ist ein verschlüsseltes Dateisystem. Da dieses es nicht möglich macht auf eben jenes ohne den Schlüssel lesen oder schreiben zu können.



Es gibt allerdings noch andere Stellen. Z.B. bei Root-Servern. Da gibt es keinen direkten physischen Zugriff. Oder halt, wie schon erwähnt, in Uni's wo die Rechner in einem Pool liegen.

Wikipedia gibt eine kurze aber präzise Auskunft darüber ;)

Hmm...man kann ihn Anfassen... man kann ihn riechen... man kann ihn bewegen... man kann ihn schmecken... man kann ihn höhren... man kann ihn sehen...


Ja, wenn der Rechner in deiner Nähe steht, dann hat man auch physikalischen Zugriff ;)