Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Freier Desktop: Erste Beta von KDE…

kdm+grub2/syslinux

  1. Thema

Neues Thema Ansicht wechseln


  1. kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 12:13

    ich habe den artikel nicht gelesen,
    mein 1. gedanke zu kdm+grub2 war: geht das auch mit syslinux? das mag ich z.Z. lieber
    mein 2. gedanke war:
    ein solcher rechner, wenn er denn wie auch immer manipuliert wurde, kann man ihn dann nicht vllt sogar in ein betriebsystem starten das gar nicht lokal vorliegt?
    der gedanke dass mein linux rechner mitten in der nacht rebootet und dann ein betriebsystem von anonymous via internet kommt, gefällt mir nicht besonders gut.

    diese vielen, teils richtig tollen Funktionen bringen mit Sicherheit mehr Unsicherheit..
    vllt starte ich mein fluxbox in zukunft doch besser manuell von der konsole aus.

  2. Re: kdm+grub2/syslinux

    Autor: taudorinon 26.05.11 - 12:23

    vukoxx schrieb:
    --------------------------------------------------------------------------------
    > mein 2. gedanke war:
    > ein solcher rechner, wenn er denn wie auch immer manipuliert wurde, kann
    > man ihn dann nicht vllt sogar in ein betriebsystem starten das gar nicht
    > lokal vorliegt?

    KDE zieht sich die Systeme aus den Einstellungen von Grub. Diese Einstellungen können nur mit Rootrechten verändert werden. In dem Fall muss also ohnehin schon jemand Zugriff auf deinen Rechner haben.
    Davon abgesehen kann ich mir nicht vorstellen das ein nicht lokal vorliegendes System gestartet werden kann, da Grub ja keinen Zugriff auf das Netz hat. Dieser wird ja erst vom Betriebssystem bereitgestellt. Aber ich kann mich auch irren.

    > der gedanke dass mein linux rechner mitten in der nacht rebootet und dann
    > ein betriebsystem von anonymous via internet kommt, gefällt mir nicht
    > besonders gut.

    Wenn dein Rechner in der nach einfach neu Startet hat "Anonymus" bereits Zugriff auf den Rechner.

    > diese vielen, teils richtig tollen Funktionen bringen mit Sicherheit mehr
    > Unsicherheit..

    Diese Funktion gibt es schon lange für Grub 1 und ich könnte mich nicht erinnern das deshalb vermehrt Sicherheitsprobleme aufgetreten sind.

    > vllt starte ich mein fluxbox in zukunft doch besser manuell von der konsole
    > aus.

    Für den Placeboeffekt?

  3. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 13:52

    >Aber ich kann mich auch irren.
    Tust du nicht.

    Es wird eine Komfortfunktion von Grub[2] benutzt ala "Beim nächsten Start nicht das Auswahlmenü zeigen sondern Menüoption $X direkt starten". Diese Komfortfunktion ist von Grub - in KDE ist nur eine Schnittstelle dazu. Wenn ein Angreifer an die Rechte kommt hier nicht nur diese Funktion zu triggern sondern auch ein weiteres Betriebssystem zu installieren hast du verloren - egal ob du jetzt Fluxbox, AwesomeWM oder KDE benutzt.

  4. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 14:12

    das mit dem "Internetboot" kam von hier http://boot.kernel.org/

    und klar, irgendwer muss dazu irgendwie Zugriff auf das System gehabt haben, sei es durch einen hack oder einen persönlichen Besuch.
    naja war ja auch nur so ein blöder Gedanke
    und mein Gefühl am PC wird auch immer blöder :(
    und blöde Menschen hol ich mir auch ganz bestimmt nicht mehr ins Haus
    und ich werd nachher mal die Scheuentore hier im Netz schliessen
    und ich werd meine Sitzung, sei es auch nur aus Spass, zukünftig von der Konsole aus starten
    und auch nur aus Spass werd ich am Wochenende weiter mal gucken ob sich nicht ein rss reader in gfxboot integrieren liesse

  5. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 14:20

    >http://boot.kernel.org/
    Dafür muss ein angepasster pxe-client (gpxe) installiert und konfiguriert werden - wer schon soweit in deinem System ist braucht sowas nicht mehr.

  6. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 14:31

    hups, stimmt schon dass dazu einiges mehr nötig ist,
    dummerweise hab ich hier die vorarbeit schon geleistet
    ..und ganz vergessen
    im Unternehmen hat der Admin aber doch wieder einen Punkt mehr zu beachten.

  7. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 14:41

    vukoxx schrieb:
    --------------------------------------------------------------------------------

    > dummerweise hab ich hier die vorarbeit schon geleistet
    Wovon aber zumindest ein automatisierter Angriff höchstwahrscheinlich nicht ausgehen wird.

    > im Unternehmen hat der Admin aber doch wieder einen Punkt mehr zu beachten.
    Aber nicht wegen der KDE Komfortfunktion. Statt einen neuen Bootloader-Menüpunkt zu erstellen und diesen für den nächsten Start zu flaggen könnte man ja einfach den Defaultmenüpunkt ändern und sicherstellen das der Timeout nicht auf 0 steht.

    Wobei ich immer noch nicht verstehe welchen Vorteil es für einen Hacker haben könnte ein eigenes OS auf dem gehackten Rechner zu starten wenn er auf dem vorhandenen OS bereits Vollzugriff hat. Das vorhandene OS ist schon richtig für das Netzwerk konfiguriert, hält die interessanteren [Temp-]Dateien und sieht so aus wie der Benutzer es gewohnt ist.

    Auch sollte es egal sein ob man ein Programm installiert das dann dynamisch das OS aus dem I-Net bootet oder ob man ein OS installiert[/"anpasst"] das dynamisch seine Programme/Konfigurationen aus dem I-Net zieht.



    2 mal bearbeitet, zuletzt am 26.05.11 14:44 durch benji83.

  8. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 17:11

    Ja, voll richtig.
    Mein bisheriges Unsicherheitsgefühl hat sich vermutlich nur zu einer Paranoia ausgeweitet..
    Sicherheitslücken holt man sich eher mit anderen Programmen und deren Plugins ins Haus als durch ein kdm Update.

  9. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 17:34

    Nur weil du Paranoid bist bedeutet das nicht das sie© nicht hinter dir her sind.
    SCNR

    Wenn du dir Sorgen machst richte doch soweit wie möglich Truecrypt (dann aber Vollverschlüsselung) + SELinux ein und mounte die /home ohne Ausführungsrechte.

  10. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 18:35

    wow, danke für die Tips.
    /home ohne Ausführungsrechte zu mounten ist für mich neu und SELinux steht jetzt definitiv auf dem Plan.

    Die Paranoia habe ich zu Hause nicht, sondern viel mehr im Hinblick auf den geschäftlichen Betrieb mit Kundendaten (Praxen und Kanzleien).
    Derzeit hat man neben dem finanziellen Aspekt ja schon auch noch einen Zugewinn an Sicherheit beim Einsatz von Linux. Nach dem Debakel mit proftp und ssl bin ich gar nicht mehr so der Linux Jünger der ich mal war.

  11. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 19:08

    Freut mich wenn ich helfen konnte - vielleicht kann ich ja noch einen Tipp zum besten geben der einige Angriffsvektoren verbaut:

    +Das SSL Beispiel verdeutlicht das kein Code perfekt ist - trotz OpenSource *g
    +Jeder Bug ist eine potentielle Sicherheitslücke.
    ->Halte die Codebasis so klein wie möglich
    Deine Idee mit dem gfxboot geht da schon in die richtige Richtung aber ist immer noch wenig Praktikabel (Paranoia ist in Sachen IT Sicherheit eher Positiv besetzt solange sie nicht von der Arbeit/dem Vergnügen abhält) besser wäre es wenn man ein Linux installiert welches keine Funktionalität bietet außer die Möglichkeit 2 virtuelle Maschinen zu startet, online zu bringen und sich auf den neuesten Stand zu halten ([Gentoo,] Arch oder Debian minimal würden sich anbieten für die Grundinstallation). Eine VM enthält alles was mit den zu bearbeitenden Daten zu tun hat - die andere den anderen Kram (RSS Browser evtl eMail etc pp) - eine gemeinsame Clipboard-Lösung sollte zumindest unter VirtualBox kein Problem sein. Wenn du dann die anderen Sicherheitstipps auf die 3 Systeme überträgst solltest du gegen Angriffe von außen schon ziemlich robust da stehen da viele "Einfallsvektoren" nicht zu den Firmendaten führen sondern über den Umweg ->Rein in die "SpieleVM", aktiv werden, merken das man in einer VM festsitzt, eine ungepatchte Sicherheitslücke in der VM kennen und anwenden - zumindest wenn die Malware/der Hacker dann nur Dateizugriff auf das System haben und nicht auf die ausgeführten Programme geht die Reise sogar noch weiter gegen die mit Truecrypt verschlüsselte "Systemplatten-Image"-Datei der ArbeitsVM(evtl sonst auch gegen Schutzmechanismen des Virtualisierungsprogrammes - bin nicht aktuell was momentan da irgendwelche relevanten Features bietet).

    Ein weiterer Vorteil wäre die einfachere Auswahl der Backupdateien inkl das Backups schneller "eingespielt" werden können falls es mal einen Grund dafür geben sollte (=erhöhte Verfügbarkeit)

    Edit:
    Achja, SELinux ist ziemlich.... Zeitaufwändig
    Es gibt vorgefertigte Profile bei vielen Distributionen aber wenn man die Möglichkeiten davon komplett(!) ausreizen möchte kann es ein paar Monate dauern.



    4 mal bearbeitet, zuletzt am 26.05.11 19:21 durch benji83.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. UDG United Digital Group, Karlsruhe, Mainz
  2. Haufe Group, Sankt Gallen (Schweiz) / Deutschland (Home-Office)
  3. NETZSCH-Gerätebau GmbH, Selb
  4. NETZSCH-Gerätebau GmbH, Selb (Raum Hof)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. (aktuell u. a. Sennheiser Momentum 2 Wireless für 199€ statt 229€ im Vergleich)
  3. 39€ + Versand (Bestpreis!)
  4. (aktuell u. a. Intel Core i5-9600K boxed für 229€ + Versand statt 247,90€ + Versand im...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  2. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  3. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

  1. US-Boykott: Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen
    US-Boykott
    Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen

    Durch den Handelsboykott der USA gerät Huawei immer stärker unter Druck: Das chinesische Unternehmen könnte die Möglichkeit verlieren, seine Mobilegeräte nach den gängigen Standards für SD-Karten und Drahtlosnetzwerke zu bauen - oder zumindest mit den entsprechenden Logos zu werben.

  2. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  3. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.


  1. 13:20

  2. 12:11

  3. 11:40

  4. 11:11

  5. 17:50

  6. 17:30

  7. 17:09

  8. 16:50