1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Freier Desktop: Erste Beta von KDE…

kdm+grub2/syslinux

  1. Thema

Neues Thema Ansicht wechseln


  1. kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 12:13

    ich habe den artikel nicht gelesen,
    mein 1. gedanke zu kdm+grub2 war: geht das auch mit syslinux? das mag ich z.Z. lieber
    mein 2. gedanke war:
    ein solcher rechner, wenn er denn wie auch immer manipuliert wurde, kann man ihn dann nicht vllt sogar in ein betriebsystem starten das gar nicht lokal vorliegt?
    der gedanke dass mein linux rechner mitten in der nacht rebootet und dann ein betriebsystem von anonymous via internet kommt, gefällt mir nicht besonders gut.

    diese vielen, teils richtig tollen Funktionen bringen mit Sicherheit mehr Unsicherheit..
    vllt starte ich mein fluxbox in zukunft doch besser manuell von der konsole aus.

  2. Re: kdm+grub2/syslinux

    Autor: taudorinon 26.05.11 - 12:23

    vukoxx schrieb:
    --------------------------------------------------------------------------------
    > mein 2. gedanke war:
    > ein solcher rechner, wenn er denn wie auch immer manipuliert wurde, kann
    > man ihn dann nicht vllt sogar in ein betriebsystem starten das gar nicht
    > lokal vorliegt?

    KDE zieht sich die Systeme aus den Einstellungen von Grub. Diese Einstellungen können nur mit Rootrechten verändert werden. In dem Fall muss also ohnehin schon jemand Zugriff auf deinen Rechner haben.
    Davon abgesehen kann ich mir nicht vorstellen das ein nicht lokal vorliegendes System gestartet werden kann, da Grub ja keinen Zugriff auf das Netz hat. Dieser wird ja erst vom Betriebssystem bereitgestellt. Aber ich kann mich auch irren.

    > der gedanke dass mein linux rechner mitten in der nacht rebootet und dann
    > ein betriebsystem von anonymous via internet kommt, gefällt mir nicht
    > besonders gut.

    Wenn dein Rechner in der nach einfach neu Startet hat "Anonymus" bereits Zugriff auf den Rechner.

    > diese vielen, teils richtig tollen Funktionen bringen mit Sicherheit mehr
    > Unsicherheit..

    Diese Funktion gibt es schon lange für Grub 1 und ich könnte mich nicht erinnern das deshalb vermehrt Sicherheitsprobleme aufgetreten sind.

    > vllt starte ich mein fluxbox in zukunft doch besser manuell von der konsole
    > aus.

    Für den Placeboeffekt?

  3. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 13:52

    >Aber ich kann mich auch irren.
    Tust du nicht.

    Es wird eine Komfortfunktion von Grub[2] benutzt ala "Beim nächsten Start nicht das Auswahlmenü zeigen sondern Menüoption $X direkt starten". Diese Komfortfunktion ist von Grub - in KDE ist nur eine Schnittstelle dazu. Wenn ein Angreifer an die Rechte kommt hier nicht nur diese Funktion zu triggern sondern auch ein weiteres Betriebssystem zu installieren hast du verloren - egal ob du jetzt Fluxbox, AwesomeWM oder KDE benutzt.

  4. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 14:12

    das mit dem "Internetboot" kam von hier http://boot.kernel.org/

    und klar, irgendwer muss dazu irgendwie Zugriff auf das System gehabt haben, sei es durch einen hack oder einen persönlichen Besuch.
    naja war ja auch nur so ein blöder Gedanke
    und mein Gefühl am PC wird auch immer blöder :(
    und blöde Menschen hol ich mir auch ganz bestimmt nicht mehr ins Haus
    und ich werd nachher mal die Scheuentore hier im Netz schliessen
    und ich werd meine Sitzung, sei es auch nur aus Spass, zukünftig von der Konsole aus starten
    und auch nur aus Spass werd ich am Wochenende weiter mal gucken ob sich nicht ein rss reader in gfxboot integrieren liesse

  5. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 14:20

    >http://boot.kernel.org/
    Dafür muss ein angepasster pxe-client (gpxe) installiert und konfiguriert werden - wer schon soweit in deinem System ist braucht sowas nicht mehr.

  6. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 14:31

    hups, stimmt schon dass dazu einiges mehr nötig ist,
    dummerweise hab ich hier die vorarbeit schon geleistet
    ..und ganz vergessen
    im Unternehmen hat der Admin aber doch wieder einen Punkt mehr zu beachten.

  7. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 14:41

    vukoxx schrieb:
    --------------------------------------------------------------------------------

    > dummerweise hab ich hier die vorarbeit schon geleistet
    Wovon aber zumindest ein automatisierter Angriff höchstwahrscheinlich nicht ausgehen wird.

    > im Unternehmen hat der Admin aber doch wieder einen Punkt mehr zu beachten.
    Aber nicht wegen der KDE Komfortfunktion. Statt einen neuen Bootloader-Menüpunkt zu erstellen und diesen für den nächsten Start zu flaggen könnte man ja einfach den Defaultmenüpunkt ändern und sicherstellen das der Timeout nicht auf 0 steht.

    Wobei ich immer noch nicht verstehe welchen Vorteil es für einen Hacker haben könnte ein eigenes OS auf dem gehackten Rechner zu starten wenn er auf dem vorhandenen OS bereits Vollzugriff hat. Das vorhandene OS ist schon richtig für das Netzwerk konfiguriert, hält die interessanteren [Temp-]Dateien und sieht so aus wie der Benutzer es gewohnt ist.

    Auch sollte es egal sein ob man ein Programm installiert das dann dynamisch das OS aus dem I-Net bootet oder ob man ein OS installiert[/"anpasst"] das dynamisch seine Programme/Konfigurationen aus dem I-Net zieht.



    2 mal bearbeitet, zuletzt am 26.05.11 14:44 durch benji83.

  8. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 17:11

    Ja, voll richtig.
    Mein bisheriges Unsicherheitsgefühl hat sich vermutlich nur zu einer Paranoia ausgeweitet..
    Sicherheitslücken holt man sich eher mit anderen Programmen und deren Plugins ins Haus als durch ein kdm Update.

  9. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 17:34

    Nur weil du Paranoid bist bedeutet das nicht das sie© nicht hinter dir her sind.
    SCNR

    Wenn du dir Sorgen machst richte doch soweit wie möglich Truecrypt (dann aber Vollverschlüsselung) + SELinux ein und mounte die /home ohne Ausführungsrechte.

  10. Re: kdm+grub2/syslinux

    Autor: vukoxx 26.05.11 - 18:35

    wow, danke für die Tips.
    /home ohne Ausführungsrechte zu mounten ist für mich neu und SELinux steht jetzt definitiv auf dem Plan.

    Die Paranoia habe ich zu Hause nicht, sondern viel mehr im Hinblick auf den geschäftlichen Betrieb mit Kundendaten (Praxen und Kanzleien).
    Derzeit hat man neben dem finanziellen Aspekt ja schon auch noch einen Zugewinn an Sicherheit beim Einsatz von Linux. Nach dem Debakel mit proftp und ssl bin ich gar nicht mehr so der Linux Jünger der ich mal war.

  11. Re: kdm+grub2/syslinux

    Autor: benji83 26.05.11 - 19:08

    Freut mich wenn ich helfen konnte - vielleicht kann ich ja noch einen Tipp zum besten geben der einige Angriffsvektoren verbaut:

    +Das SSL Beispiel verdeutlicht das kein Code perfekt ist - trotz OpenSource *g
    +Jeder Bug ist eine potentielle Sicherheitslücke.
    ->Halte die Codebasis so klein wie möglich
    Deine Idee mit dem gfxboot geht da schon in die richtige Richtung aber ist immer noch wenig Praktikabel (Paranoia ist in Sachen IT Sicherheit eher Positiv besetzt solange sie nicht von der Arbeit/dem Vergnügen abhält) besser wäre es wenn man ein Linux installiert welches keine Funktionalität bietet außer die Möglichkeit 2 virtuelle Maschinen zu startet, online zu bringen und sich auf den neuesten Stand zu halten ([Gentoo,] Arch oder Debian minimal würden sich anbieten für die Grundinstallation). Eine VM enthält alles was mit den zu bearbeitenden Daten zu tun hat - die andere den anderen Kram (RSS Browser evtl eMail etc pp) - eine gemeinsame Clipboard-Lösung sollte zumindest unter VirtualBox kein Problem sein. Wenn du dann die anderen Sicherheitstipps auf die 3 Systeme überträgst solltest du gegen Angriffe von außen schon ziemlich robust da stehen da viele "Einfallsvektoren" nicht zu den Firmendaten führen sondern über den Umweg ->Rein in die "SpieleVM", aktiv werden, merken das man in einer VM festsitzt, eine ungepatchte Sicherheitslücke in der VM kennen und anwenden - zumindest wenn die Malware/der Hacker dann nur Dateizugriff auf das System haben und nicht auf die ausgeführten Programme geht die Reise sogar noch weiter gegen die mit Truecrypt verschlüsselte "Systemplatten-Image"-Datei der ArbeitsVM(evtl sonst auch gegen Schutzmechanismen des Virtualisierungsprogrammes - bin nicht aktuell was momentan da irgendwelche relevanten Features bietet).

    Ein weiterer Vorteil wäre die einfachere Auswahl der Backupdateien inkl das Backups schneller "eingespielt" werden können falls es mal einen Grund dafür geben sollte (=erhöhte Verfügbarkeit)

    Edit:
    Achja, SELinux ist ziemlich.... Zeitaufwändig
    Es gibt vorgefertigte Profile bei vielen Distributionen aber wenn man die Möglichkeiten davon komplett(!) ausreizen möchte kann es ein paar Monate dauern.



    4 mal bearbeitet, zuletzt am 26.05.11 19:21 durch benji83.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systems Engineer (m/w/d) - Microsoft SQL Server
    OEDIV KG, Bielefeld
  2. Software Product Owner Mechatronic Chassis Systems (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. Data Warehouse Entwickler/ETL-Entwickler (m/w/d)
    SBK Siemens-Betriebskrankenkasse, München
  4. Referent (m/w/d) für IT-Projekte
    Paul-Ehrlich-Institut, Langen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 42,99€ pro Monat über 24 Monate Laufzeit, 45,98€ einmalige Kosten bei o2
  2. 182,90€ (Bestpreis)
  3. (u. a. Transcend 220S 1TB PCIe-SSD für 135,90€, Thermaltake Toughram RGB 16GB DDR4-3200 Kit für...
  4. (mit Intel Core i7-11700F + AMD Radeon RX 6800 XT für 2.500€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lois Lew: Die berühmteste Sekretärin, die IBM je hatte
Lois Lew
Die berühmteste Sekretärin, die IBM je hatte

Lois Lew war Sekretärin bei IBM, als sie die Chance bekam, auf eine große Werbetour zu gehen. Dabei stellte sich heraus: Sie ist ein Gedächtnisgenie.
Ein Porträt von Elke Wittich

  1. Kyndryl IBMs aufgespaltenes Unternehmen bekommt einen neuen Namen
  2. Programmiersprache IBM will mit Cobol in die Linux-Cloud
  3. IBM Deutschland IBM-Beschäftigte wehren sich in Webex gegen Kündigungen

Probleme mit Agilität in Konzernen: Agil sein muss man auch wollen
Probleme mit Agilität in Konzernen
Agil sein muss man auch wollen

Ansätze wie das Spotify-Modell sollen großen Firmen helfen, agil zu werden. Wer aber erwartet, dass man es überstülpen kann und dann ist alles gut, der irrt sich.
Ein Erfahrungsbericht von Marvin Engel


    Kia EV6: Überzeugender Angriff auf die elektrische Luxusklasse
    Kia EV6
    Überzeugender Angriff auf die elektrische Luxusklasse

    Mit einer 800-Volt-Architektur und Ladeleistungen von bis zu 250 kW fordert Kias neues Elektroauto EV6 nicht nur Tesla heraus.
    Ein Hands-on von Franz W. Rother

    1. Elektroauto Der EV6 von Kia kommt im Herbst auf den Markt
    2. Elektroauto Kia zeigt unverhüllte Fotos des EV6
    3. Elektroauto Kia veröffentlicht erste Bilder des EV6