View previous topic :: View next topic |
Author |
Message |
lordalbert l33t
Joined: 26 Nov 2006 Posts: 840 Location: Italy
|
Posted: Wed Oct 03, 2007 3:32 pm Post subject: sicurezza locale |
|
|
Ciao. Stamattina stavo pensando che chiunque può accedere ad una macchina come root se ne ha accesso fisico.
Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..
E' possibile disattivare questa "opzione"?
Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio? |
|
Back to top |
|
|
randomaze Bodhisattva
Joined: 21 Oct 2003 Posts: 9985
|
Posted: Wed Oct 03, 2007 3:53 pm Post subject: Re: sicurezza locale |
|
|
lordalbert wrote: | Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..
E' possibile disattivare questa "opzione"? |
Metti la password sul bootloader
Quote: | Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio? |
Disattivi nel BIOS l'avvio da CD/USB e metti la password sul BIOS.
Restano i casi in cui l'utente può cambiare le cose da windows (soluzione: disinstalli windows) oppure smonta la macchina, stacca l'HD e lo rimonta come slave su un'altro PC (e qui potresti divertirti collegando 15 kilovolt al case... attenzione: se tieni il PC sotto la scrivania potrebbero sorgere controindicazioni!!!) _________________ Ciao da me! |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Wed Oct 03, 2007 3:54 pm Post subject: |
|
|
in lilo la raccomandazione è definire password e mandatory globali non per immagine, secondo le ultime disposizioni del garante alla privacy (e da sempre per buonsenso, al massimo c'è da chiedersi perchè gentoo non lo preveda di default nel lilo.conf.example) tutti i pc devono avere una password che impedisca l'accesso al bios (che poi sia stata interpretata come tutti i pc devono avere la password di accensione impostata è dovuto alla faciloneria di certa stampa specializzata) ed in particolare all'uso dei device rimovibili come boot od in alternativa il computer deve essere posto sotto chiave (e da questo l'interpretazione folle che vuole le consolle chiuse negli armadi...)
scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".
per grub parli chi lo usa perchè io non lo apprezzo ma si deve poter fare lo stesso. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Oct 03, 2007 3:57 pm Post subject: |
|
|
Di soluzioni ce ne sono ma nessuna sicura al 100% ...
Puoi impostare una password nel bios per evitare che venga fatto il boot da cd, puoi impostare una password in grub per evitare che vengano aggiunti o modificati parametri.
Questo ti consente di essere abbastanza sicuro, ovviamente se uno ha fisicamente accesso al pc lo apre, prende il disco e se lo monta su un altro sistema o cracka la password del bios, per ovviare a questo potresti cifrare tutto con treucrypt o simili. _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Wed Oct 03, 2007 4:02 pm Post subject: Re: sicurezza locale |
|
|
randomaze wrote: | potresti divertirti collegando 15 kilovolt al case |
a quanto pare abbiamo un altro estimatore del riciclo in antifurto dei vecchi "neon".... o sei per metodo bobina da moto?
non ho resistito _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
lordalbert l33t
Joined: 26 Nov 2006 Posts: 840 Location: Italy
|
Posted: Wed Oct 03, 2007 4:03 pm Post subject: |
|
|
djinnZ wrote: |
scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".
|
mmm cioè? non ho ben capito...
Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...
EDIT: ah, intendi una password per impedire che vengano modificate le opzioni di boot? (forse ora ho capito )
Last edited by lordalbert on Wed Oct 03, 2007 4:10 pm; edited 1 time in total |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Oct 03, 2007 4:07 pm Post subject: |
|
|
lordalbert wrote: | Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla... |
Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ? _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Wed Oct 03, 2007 4:11 pm Post subject: |
|
|
molti bios prevedono una password che impadisce all'utonto di cambiare le impostazioni e scegliere il device di boot ed una diversa per la sola accensione. Questi sono in regola, per tutti gli altri basta disabilitare il boot dalle altre unità e dire al bios che la password va chiesta solo per l'amministrazion e ma non per l'avvio (tutti sono così).
risolto questo, sempre per lilo:
l'uso normale è impostare prima delle singole sezioni di boot
Code: | password=tuapassword | (ovviamente lilo.conf è leggibile solo a root e tua password è la tua password in chiaro)
e di seguito mandatory
poi se hai qualche immagine che vuoi sia protetta da diversa password o che venga chiesta sempre e comunque prima del ci piazzi l'istruzione password= o restricted, secondo i casi _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
lordalbert l33t
Joined: 26 Nov 2006 Posts: 840 Location: Italy
|
Posted: Wed Oct 03, 2007 4:15 pm Post subject: |
|
|
Kernel78 wrote: | lordalbert wrote: | Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla... |
Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ? |
Beh, ma per poter avviare la macchina serve la password, no? semplicemente per accedere al sistema |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Wed Oct 03, 2007 4:20 pm Post subject: |
|
|
A meno che non è stato scritto con i piedi (cineserie di scarto) o sia roba di antiquariato come il mio vecchio pc (486DX2 25Mhz EISA o precedenti), il bios, anche i più vecchi, anche quelli con una sola password, da qualche parte hanno l'opzione che consente di scegliere se la password va chiesta al post/setup/both.
dimenticavo: l'accenno al fatto di bloccare il boot lo ho fatto perchè spesso in ambito lavorativo si interpreta male la questione della privacy (andatevi a cercare la circolare, più fumosa ed imprecisa non la si poteva senza trascedere nell'errore) e si blocca l'accesso, cosa non necessaria.
come al solito ho fatto confusione tra restricted e mandatory... _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
Last edited by djinnZ on Wed Oct 03, 2007 4:30 pm; edited 2 times in total |
|
Back to top |
|
|
Kernel78 Moderator
Joined: 24 Jun 2005 Posts: 3654
|
Posted: Wed Oct 03, 2007 4:23 pm Post subject: |
|
|
@lordalbert
djinnZ mi ha preceduto nel risponderti ... _________________ Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con Code: | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
Back to top |
|
|
gioi Apprentice
Joined: 14 Feb 2006 Posts: 236
|
Posted: Thu Oct 04, 2007 7:38 am Post subject: |
|
|
Allora, la password del bios ci vuole 30 sec per cancellarla...
Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt...
Al limite, dipende dalla distro, se si ha accesso al dispositivo /dev/nvram in scrittura basta un bel
Code: |
dd if=/dev/zero of=/dev/nvram bs=1 count=1000
|
e la password è bella che eliminata (insieme alle altre impostazioni quali l'ora, boot device ecc ecc sostituite da quelle di default).
In alternativa si può sostituire /dev/zero con un file esadecimale a piacere.... _________________ --
My blog http://gioitech.wordpress.com
Last edited by gioi on Thu Oct 04, 2007 9:05 am; edited 1 time in total |
|
Back to top |
|
|
bandreabis Advocate
Joined: 18 Feb 2005 Posts: 2495 Location: イタリアのロディで
|
Posted: Thu Oct 04, 2007 8:23 am Post subject: |
|
|
Basterebbe tenere il portatile sottobraccio quando non si usa. _________________ Il numero di post non fa di me un esperto! Anzi! |
|
Back to top |
|
|
codadilupo Advocate
Joined: 05 Aug 2003 Posts: 3135
|
Posted: Thu Oct 04, 2007 8:50 am Post subject: |
|
|
la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!
Coda |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Thu Oct 04, 2007 11:43 am Post subject: |
|
|
gioi wrote: | Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt... |
per i 15kv ci sono due metodi: collegare i terminali di un "reattore"+starter (per questo dicevo normale lampada al neon) al case ed il primo che prova a toccarlo è fulminato, in alternativa si può sempre smontare una di quelle simpatiche lampade per fulminare gli insetti.
Il secondo metodo è andare in un negozio di ricambi e comprare una bobina da motorino da collegare alla 12V dell'alimentatore. La scossa è piccola ma dolorosa.
Non vado oltre nei dettagli perchè sono metodi criminali e se beccate un cardiopatico vi fate il vosto bel soggiorno al fresco per omicidio.
scherzi a parte: negli lm_sensor il segnale case intrusion corrisponde ad un simpatico apparecchietto che scatta quando viene aperto il pc e lo segnala al successivo riavvio. Questo per sapere che c'è stata la violazione.
Altrimenti loop crittografato (truecrypt è una buona soluzione multipiattaforma ed è in portage da una vita) e monitor sulle modifiche ai file di sistema.
Se vuoi un buon esempio di paranoia applicata cerca le specifiche RBAC del livello A1, che a quel che so è possibile solo con linux ma non è considerato valido perchè il software deve essere sviluppato in segretezza (con buona pace di kirchoff e shannon).
ci sono anche dei simpatici hd con esplosivo (a detonazione lenta, produce solo una forte vampata di calore che fonde il supporto magnetico) a protezione dei dati, non costano neanche molto. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
cloc3 Advocate
Joined: 13 Jan 2004 Posts: 4807 Location: http://www.gentoo-users.org/user/cloc3/
|
Posted: Thu Oct 04, 2007 12:16 pm Post subject: |
|
|
codadilupo wrote: | la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!
Coda |
si, però ha un sito web in flash che fa cagare. _________________ vu vu vu
gentù
mi piaci tu |
|
Back to top |
|
|
nick_spacca l33t
Joined: 29 May 2004 Posts: 689 Location: Paris/France
|
Posted: Thu Oct 04, 2007 2:16 pm Post subject: |
|
|
codadilupo wrote: | la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!
Coda |
Sei un mito!!!
cloc3 wrote: |
si, però ha un sito web in flash che fa cagare. |
quello è il finto originale..molto meglio questo
(scusate l'OT enorme ma non ho saputo resistere ) _________________ I can resist anything but temptation.
(O. Wilde) |
|
Back to top |
|
|
federico Advocate
Joined: 18 Feb 2003 Posts: 3272 Location: Italy, Milano
|
Posted: Thu Oct 04, 2007 2:42 pm Post subject: |
|
|
Bisognerebbe inquadrare che tipo di sicurezza cerchi e per quale motivo. Se c'e' accesso fisico al computer non c'e' sicurezza vera che tenga. Noi nell'installazione di un internet point un tempo avevamo messo sotto chiave i computer. Okei, se sei un maestro del lockpicking per te questo non e' un problema, pero' in un posto pubblco tempo che apri il lucchetto, smonti il computer, estrai il disco, speriamo di accorgercene.
Fede _________________ Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Thu Oct 04, 2007 5:01 pm Post subject: |
|
|
codadilupo wrote: | la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
Esiste solo Chuck Norris. Augh!
Coda | La sicurezza esiste e nel suo coltellino svizzero ha McGyver! Il suo nome è... Steven Seagal.
Ed ora, finito di vomitare possiamo anche tirare la catena.
Come sempre non ho resistito. Mi cospargo il capo di cenere e chiedo umilmente perdono, però ci ho provato, ed ho anche resistito quasi nove ore, me lo dovete riconoscere. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
|