[SAMMELTHREAD] Linux Kurze-Frage-Kurze-Antwort (KFKA)

wobei "vollverschlüsselt" bei unverschlüsseltem /boot sowieso Augenauswischerei ist.
 
Oh sch....e, ich glaube dann habe ich einen lvm ohne verschlüsselung angelegt.

Also alles nochmal von vorne...
 
Lokheizer schrieb:
Danke für eure Antworten. Also auch die Hotkeys sollten auf Anhieb funktionieren? Ich dachte, ich muss hier einiges per Hand noch machen. TLP würde ich auch gerne testen, ich nehme an das muss ich dann per Hand (nach Anleitung) machen?
Sobald das T61 nichts mehr zu tun hat werde ich mal die Installation wagen (habe mir hier momentan einen kleinen Rendering-Cluster aufgebaut - zwei W530 und das T61 rendern was die Kühler hergeben).
Zum Vergrößern anklicken....
Ich hab das jetzt übrigens gemacht, auf dem T61 läuft jetzt LinuxMint mit dem Cinnamon-Desktop. Kommt mir übrigens wesentlich performanter als Windows vor. :)
TLP ist natürlich installiert. :D
 
Bentallica schrieb:
Das würde mich aber auch mal interessieren!?
Zum Vergrößern anklicken....
/boot ist nicht verschlüsselt, ergo ist auch /boot/initrd* und /boot/vmlinuz* nicht verschlüsselt. Als Angreifer brauchst du nur die initrd (oder den Kernel) zu modifizieren, so dass deine Payload z.b. vom Context der Initrd in den Context nach pivot_root() überlebt - vor pivot_root() kommt die berühmte Passwortabfrage zum mounten der verschlüsselten Partitionen. Auf dem Weg ist deiner Phantasie keine Grenze gesetzt: Kernel patchen mit keylogger? Geschenkt - der User muss sich nur ein mal bei senem "hochsicheren" System einloggen und du hast ihn. Payload in die verschlüsselte Partition injizieren? Kein Problem: Du lässt einfach eine Prozess 2x forken und weiterlaufen, dann ist die initrd nach pivot_root() sauber ausgehängt.

Und wer glaubt, das ist kompliziert, der möge mal selber probieren (Anleitung für wheezy):
Code: 
cd /tmp
mkdir xxx
cd xxx
cat /boot/initrd.img-3.12-0.bpo.1-amd64 | gunzip | cpio -i
less init

Payload einbauen, initrd wieder packen und System mit veränderter initrd starten überlasse ich als Fingerübung dem interessierten Leser :D
 
Und gibt es da deiner Meinung nach Alternativen? (die ähnlich leicht einzurichten sind...)
 
Hat schon jemand ein Upgrade von Wheezy auf Jessie durch und kann berichten, ob das funktioniert hat?

Idealerweise auf einem T410s mit Intel-Grafik ;)
 
zenox schrieb:
Und gibt es da deiner Meinung nach Alternativen? (die ähnlich leicht einzurichten sind...)
Zum Vergrößern anklicken....

LOL ... Sicherheit ist ein Lebensart, kein kaufbares Produkt. Und "einfach" und "sicher" ist ein Widerspruch :D

Betracht's mal von der anderen Seite: eine veschlüsselte Platte nutzt dir nur dann etwas, wenn du dich nach dem "Ereignis" nicht mehr auf deinem Rechner/Platte anmelden kannst. Ergo ist's ein Schutz gegen Diebstahl, klaut halt eine unbrauchbare Platte aber das war's schon. Wenn das dein Bedrohungsszenario ist, OK, gewonnen. Gegen alles andere nutzt's nix, nicht gegen fiese Kollegen, neidische Mitarbeiter, klauende Wissenschaftler, Hosenanzüge, Mafia oder "Lawful inspection".

Ansonsten ... der einfache Weg ist, ein Dummy-Betriebssystem zu installieren (XP ist da sehr beliebt) - dann hat der Herr vom Zoll was zum schauen und zum kopieren und ist nicht überfordert (wenn der was nicht versteht, dann wird's er zornig, und wenns ein Typ vom Heimatschutz mit 200kg und dem IQ einer Kartoffel ist und man dummerweise in der rechtsfreien Zone eines amerikanischen Flughafens sitzt dann wünscht man sich man hätte wirklich XP auf den Rechner getan). Und wenn man seine Daten braucht, dann bootet man von einer CD oder (wenn das nicht geht) microSD-Card, die eine spezielle initrd enthält die im nicht partitionierten Bereich der Platte ... na den rest kann man sich denken.
 
debunix schrieb:
Hat schon jemand ein Upgrade von Wheezy auf Jessie durch und kann berichten, ob das funktioniert hat?

Idealerweise auf einem T410s mit Intel-Grafik ;)
Zum Vergrößern anklicken....

Ich hab' ein's durch, auf einem T500 ... und dank systemd durfte ich alles neu installieren, um's dann erst recht nicht gebacken zu bekommen. Zum Glück war's nur ein Testsystem. Na ja, jetzt teste ich halt FreeBSD 10.1-RC4, das funktioniert.
 
@zwieblum

Das ist doch gar nicht der Sinn von Verschlüsselung. Es geht doch darum, dass niemand die Daten auf deinem entwendeten Laptop lesen kann. Ein Rechner, auf den der Angreifer direkten Zugriff hat, ist grundsätzlich nicht sicher. Du kannst es natürlich erschweren (z.B. Booten ausschließlich von der einen Platte erlauben und Festplatte einkleben, BIOS mit einem Passwort versehen), aber sicher kann man sich dann trotzdem nie sein.

/boot muss unverschlüsselt sein - irgendwovon muss das System schließlich booten. Man könnte das natürlich auf einem USB-Stick rumtragen, aber das ist zum einen umständlich und zum anderen bietet es auch keine absolute Sicherheit (da der Laptop trotzdem manipuliert worden sein könnte).
 
2004 wäre die Aussage noch OK gewesen. Leider ist jetzt 2014 und die Diebe sind unsere besten Freunde.
 
Ich geb's auf mit dir zu diskutieren. Du bist sicher auch mit Tor hier im Form unterwegs.
 
zwieblum schrieb:
[...] die Diebe sind unsere besten Freunde.
Zum Vergrößern anklicken....
Naja, die haben eh kaum Interesse an privaten Daten (sofern sie diese nicht auf dem Silbertablett serviert bekommen ;) )
Und mit der Hardware: Leute die im großen Stil Laptops klauen, können auch BIOS-Chips austauschen/neuflashen => selbst Hardwareverschlüsselung (mal abgesehen vom abschließbaren Büro) schützt höchstens deine Daten, aber niemals dein Thinkpad ;)
 
Ich hatte unter Arch Linux (Antergos) testweise mal multilib aktiviert, möchte es aber nicht mehr.
Vorgehensweise: https://bbs.archlinux.org/viewtopic.php?pid=1326607#p1326607

Code: 
[christoph@X201 ~]$ sudo pacman -R `LANG=C pacman -Sl multilib | grep installed | cut -d ' ' -f 2`
Prüfe Abhängigkeiten...
Fehler: Konnte den Vorgang nicht vorbereiten (Kann Abhängigkeiten nicht erfüllen)
:: ssx: benötigt lib32-libx11
:: ssx: benötigt lib32-gcc-libs

Nun hängt er hier fest, trotz Reinstallation von "gcc-libs", "base-devel" und auch "libx11".
Wie werde ich es wieder los?
 
Jeweils beide:
Code: 
[christoph@X201 ~]$ pacman -Ss libx11
extra/libx11 1.6.2-2 [Installiert]
    X11 client-side library
multilib/lib32-libx11 1.6.2-1 [Installiert]
    X11 client-side library (32-bit)
[christoph@X201 ~]$ pacman -Ss gcc-libs
core/gcc-libs 4.9.2-1 (base) [Installiert]
    Runtime libraries shipped by GCC
multilib/gcc-libs-multilib 4.9.2-1
    Runtime libraries shipped by GCC for multilib
multilib/lib32-gcc-libs 4.9.2-1 [Installiert]
    Runtime libraries shipped by GCC (32-bit)
 
Wurden die Libs denn auch zwischenzeitlich schon geladen? (bei single-User Arbeitsplätzen würd ich dafür einfach mal neustarten ;) )
 
Ich wüsste nicht von was, da sich das System sonst nicht geändert hat, außer 1-2 Update Durchläufe.
Aber gerade mal neugestartet und keine Änderung erzielt.

*edit*
hat sich erledigt ... ssx brauche ich gar nicht ...
 
Zuletzt bearbeitet:
SammysHP schrieb:
@.Sun
Ja, dich meine ich. Du hattest doch die Frage gestellt, oder? buddabrod hatte die passende Antwort (mit -exec) darauf gegeben.
Zum Vergrößern anklicken....

Mir ist egal, wie der Inhalt an nano übergeben wird. :p
Rein aus Interesse: Was fehlt da bei exec?
Code: 
[sun@t440s ~]$ find . -name "persdict.dat" -exec nano
find: Fehlendes Argument für "-exec".



Wie kann ich bei den Kipiplugins (Gwenview) Standardeinstellungen beim scannen festlegen? Bei jedem Start muss ich die Auflösung ändern (von 600 auf 300) und das Format. Das Format wird neuedings vollends ignoriert, d.h. das ganze Flachbatt wird gescannt, sodass ich den Scan hinterher immer beschneiden muss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben