Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
sicurezza locale
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano
View previous topic :: View next topic  
Author Message
lordalbert
l33t
l33t


Joined: 26 Nov 2006
Posts: 840
Location: Italy

PostPosted: Wed Oct 03, 2007 3:32 pm    Post subject: sicurezza locale Reply with quote

Ciao. Stamattina stavo pensando che chiunque può accedere ad una macchina come root se ne ha accesso fisico.
Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..
E' possibile disattivare questa "opzione"?

Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio?
Back to top
View user's profile Send private message
randomaze
Bodhisattva
Bodhisattva


Joined: 21 Oct 2003
Posts: 9985

PostPosted: Wed Oct 03, 2007 3:53 pm    Post subject: Re: sicurezza locale Reply with quote

lordalbert wrote:
Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..
E' possibile disattivare questa "opzione"?


Metti la password sul bootloader

Quote:
Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio?


Disattivi nel BIOS l'avvio da CD/USB e metti la password sul BIOS.

Restano i casi in cui l'utente può cambiare le cose da windows (soluzione: disinstalli windows) oppure smonta la macchina, stacca l'HD e lo rimonta come slave su un'altro PC (e qui potresti divertirti collegando 15 kilovolt al case... attenzione: se tieni il PC sotto la scrivania potrebbero sorgere controindicazioni!!!)
_________________
Ciao da me!
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Oct 03, 2007 3:54 pm    Post subject: Reply with quote

in lilo la raccomandazione è definire password e mandatory globali non per immagine, secondo le ultime disposizioni del garante alla privacy (e da sempre per buonsenso, al massimo c'è da chiedersi perchè gentoo non lo preveda di default nel lilo.conf.example) tutti i pc devono avere una password che impedisca l'accesso al bios (che poi sia stata interpretata come tutti i pc devono avere la password di accensione impostata è dovuto alla faciloneria di certa stampa specializzata) ed in particolare all'uso dei device rimovibili come boot od in alternativa il computer deve essere posto sotto chiave (e da questo l'interpretazione folle che vuole le consolle chiuse negli armadi...)

scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".

per grub parli chi lo usa perchè io non lo apprezzo ma si deve poter fare lo stesso.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Wed Oct 03, 2007 3:57 pm    Post subject: Reply with quote

Di soluzioni ce ne sono ma nessuna sicura al 100% ...
Puoi impostare una password nel bios per evitare che venga fatto il boot da cd, puoi impostare una password in grub per evitare che vengano aggiunti o modificati parametri.
Questo ti consente di essere abbastanza sicuro, ovviamente se uno ha fisicamente accesso al pc lo apre, prende il disco e se lo monta su un altro sistema o cracka la password del bios, per ovviare a questo potresti cifrare tutto con treucrypt o simili.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Oct 03, 2007 4:02 pm    Post subject: Re: sicurezza locale Reply with quote

randomaze wrote:
potresti divertirti collegando 15 kilovolt al case

a quanto pare abbiamo un altro estimatore del riciclo in antifurto dei vecchi "neon".... o sei per metodo bobina da moto?

non ho resistito :lol:
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
lordalbert
l33t
l33t


Joined: 26 Nov 2006
Posts: 840
Location: Italy

PostPosted: Wed Oct 03, 2007 4:03 pm    Post subject: Reply with quote

djinnZ wrote:

scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".


mmm cioè? non ho ben capito...

Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...

EDIT: ah, intendi una password per impedire che vengano modificate le opzioni di boot? (forse ora ho capito :D )


Last edited by lordalbert on Wed Oct 03, 2007 4:10 pm; edited 1 time in total
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Wed Oct 03, 2007 4:07 pm    Post subject: Reply with quote

lordalbert wrote:
Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...

Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Oct 03, 2007 4:11 pm    Post subject: Reply with quote

molti bios prevedono una password che impadisce all'utonto di cambiare le impostazioni e scegliere il device di boot ed una diversa per la sola accensione. Questi sono in regola, per tutti gli altri basta disabilitare il boot dalle altre unità e dire al bios che la password va chiesta solo per l'amministrazion e ma non per l'avvio (tutti sono così).

risolto questo, sempre per lilo:
l'uso normale è impostare prima delle singole sezioni di boot
Code:
password=tuapassword
(ovviamente lilo.conf è leggibile solo a root e tua password è la tua password in chiaro)
e di seguito mandatory
poi se hai qualche immagine che vuoi sia protetta da diversa password o che venga chiesta sempre e comunque prima del
Code:
read-only
ci piazzi l'istruzione password= o restricted, secondo i casi
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
lordalbert
l33t
l33t


Joined: 26 Nov 2006
Posts: 840
Location: Italy

PostPosted: Wed Oct 03, 2007 4:15 pm    Post subject: Reply with quote

Kernel78 wrote:
lordalbert wrote:
Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...

Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ?


Beh, ma per poter avviare la macchina serve la password, no? semplicemente per accedere al sistema
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Wed Oct 03, 2007 4:20 pm    Post subject: Reply with quote

A meno che non è stato scritto con i piedi (cineserie di scarto) o sia roba di antiquariato come il mio vecchio pc (486DX2 25Mhz EISA o precedenti), il bios, anche i più vecchi, anche quelli con una sola password, da qualche parte hanno l'opzione che consente di scegliere se la password va chiesta al post/setup/both.

dimenticavo: l'accenno al fatto di bloccare il boot lo ho fatto perchè spesso in ambito lavorativo si interpreta male la questione della privacy (andatevi a cercare la circolare, più fumosa ed imprecisa non la si poteva senza trascedere nell'errore) e si blocca l'accesso, cosa non necessaria.

come al solito ho fatto confusione tra restricted e mandatory...
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:


Last edited by djinnZ on Wed Oct 03, 2007 4:30 pm; edited 2 times in total
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Wed Oct 03, 2007 4:23 pm    Post subject: Reply with quote

@lordalbert
djinnZ mi ha preceduto nel risponderti ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
gioi
Apprentice
Apprentice


Joined: 14 Feb 2006
Posts: 236

PostPosted: Thu Oct 04, 2007 7:38 am    Post subject: Reply with quote

Allora, la password del bios ci vuole 30 sec per cancellarla...

Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt...

Al limite, dipende dalla distro, se si ha accesso al dispositivo /dev/nvram in scrittura basta un bel

Code:

dd if=/dev/zero of=/dev/nvram bs=1 count=1000


e la password è bella che eliminata (insieme alle altre impostazioni quali l'ora, boot device ecc ecc sostituite da quelle di default).

In alternativa si può sostituire /dev/zero con un file esadecimale a piacere....
_________________
--
My blog http://gioitech.wordpress.com


Last edited by gioi on Thu Oct 04, 2007 9:05 am; edited 1 time in total
Back to top
View user's profile Send private message
bandreabis
Advocate
Advocate


Joined: 18 Feb 2005
Posts: 2495
Location: イタリアのロディで

PostPosted: Thu Oct 04, 2007 8:23 am    Post subject: Reply with quote

Basterebbe tenere il portatile sottobraccio quando non si usa. :D
_________________
Il numero di post non fa di me un esperto! Anzi!
Back to top
View user's profile Send private message
codadilupo
Advocate
Advocate


Joined: 05 Aug 2003
Posts: 3135

PostPosted: Thu Oct 04, 2007 8:50 am    Post subject: Reply with quote

la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!

Coda
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Thu Oct 04, 2007 11:43 am    Post subject: Reply with quote

gioi wrote:
Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt...


per i 15kv ci sono due metodi: collegare i terminali di un "reattore"+starter (per questo dicevo normale lampada al neon) al case ed il primo che prova a toccarlo è fulminato, in alternativa si può sempre smontare una di quelle simpatiche lampade per fulminare gli insetti.
Il secondo metodo è andare in un negozio di ricambi e comprare una bobina da motorino da collegare alla 12V dell'alimentatore. La scossa è piccola ma dolorosa.
Non vado oltre nei dettagli perchè sono metodi criminali e se beccate un cardiopatico vi fate il vosto bel soggiorno al fresco per omicidio.

scherzi a parte: negli lm_sensor il segnale case intrusion corrisponde ad un simpatico apparecchietto che scatta quando viene aperto il pc e lo segnala al successivo riavvio. Questo per sapere che c'è stata la violazione.

Altrimenti loop crittografato (truecrypt è una buona soluzione multipiattaforma ed è in portage da una vita) e monitor sulle modifiche ai file di sistema.
Se vuoi un buon esempio di paranoia applicata cerca le specifiche RBAC del livello A1, che a quel che so è possibile solo con linux ma non è considerato valido perchè il software deve essere sviluppato in segretezza (con buona pace di kirchoff e shannon).

ci sono anche dei simpatici hd con esplosivo (a detonazione lenta, produce solo una forte vampata di calore che fonde il supporto magnetico) a protezione dei dati, non costano neanche molto.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
cloc3
Advocate
Advocate


Joined: 13 Jan 2004
Posts: 4808
Location: http://www.gentoo-users.org/user/cloc3/

PostPosted: Thu Oct 04, 2007 12:16 pm    Post subject: Reply with quote

codadilupo wrote:
la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!

Coda

:cry:

si, però ha un sito web in flash che fa cagare.
_________________
vu vu vu
gentù
mi piaci tu
Back to top
View user's profile Send private message
nick_spacca
l33t
l33t


Joined: 29 May 2004
Posts: 689
Location: Paris/France

PostPosted: Thu Oct 04, 2007 2:16 pm    Post subject: Reply with quote

codadilupo wrote:
la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!

Coda

Sei un mito!!! :lol: :lol: :lol:

cloc3 wrote:
:cry:

si, però ha un sito web in flash che fa cagare.


quello è il finto originale..molto meglio questo

(scusate l'OT enorme ma non ho saputo resistere :oops: )
_________________
I can resist anything but temptation.
(O. Wilde)
Back to top
View user's profile Send private message
federico
Advocate
Advocate


Joined: 18 Feb 2003
Posts: 3272
Location: Italy, Milano

PostPosted: Thu Oct 04, 2007 2:42 pm    Post subject: Reply with quote

Bisognerebbe inquadrare che tipo di sicurezza cerchi e per quale motivo. Se c'e' accesso fisico al computer non c'e' sicurezza vera che tenga. Noi nell'installazione di un internet point un tempo avevamo messo sotto chiave i computer. Okei, se sei un maestro del lockpicking per te questo non e' un problema, pero' in un posto pubblco tempo che apri il lucchetto, smonti il computer, estrai il disco, speriamo di accorgercene.
Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.

PostPosted: Thu Oct 04, 2007 5:01 pm    Post subject: Reply with quote

codadilupo wrote:
la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!
Coda
La sicurezza esiste e nel suo coltellino svizzero ha McGyver! Il suo nome è... Steven Seagal.
Ed ora, finito di vomitare possiamo anche tirare la catena. :twisted:

Come sempre non ho resistito. Mi cospargo il capo di cenere e chiedo umilmente perdono, però ci ho provato, ed ho anche resistito quasi nove ore, me lo dovete riconoscere.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum