ubuntuusers.de

ubuntuusers.deWikiLokale Sicherheit

Lokale Sicherheit

lock_computer.png

Viele Linux-Einsteiger sind verwirrt, dass sie über den Recovery Modus direkt Root-Rechte über das System erlangen können. Diese Tatsache liegt im sudo-Prinzip von Ubuntu begründet, weil Ubuntu im Gegensatz zu anderen Systemen kein Root-Passwort besitzt. Aber auch ohne diese "Lücke" ist es bei lokalem Zugang zu einem Rechner meist trivial, auf die Daten zugreifen zu können.

Besitzen Benutzer des Systems physikalischen Zugang zum Computer, können sie z.B. den Rechner mit einer Live-CD oder einer Boot-Diskette starten oder sogar die Festplatten ausbauen. So kann man jederzeit an die Daten des Rechners gelangen und kein Betriebssystem der Welt konnte bisher vor solchen Manipulationen schützen – es sei denn, man hat die Daten verschlüsselt oder benutzt Secure Boot.

Je nach Paranoia des Besitzers bzw. je nach Einsatzzweck des Systems, kann man jedoch verschiedene Dinge unternehmen, um ein System vor Zugriff durch Dritte zu schützen.

Für wen ist lokale Sicherheit interessant?

Steht ein Rechner immer in den eigenen vier Wänden, ohne dass Dritte unbeaufsichtigten Zugang zu den Räumlichkeiten haben, so muss man sich um die lokale Sicherheit des Rechners keine Gedanken machen. Sollte ein Einbrecher Zugang zum Rechner bekommen, so sollte man sich eher Sorgen um die Wertsachen im Haus machen... Befolgt man das Sicherheits 1x1, so sind die Sicherheitskonzepte eines Linux-Systems absolut ausreichend.

Besitzt man einen Laptop, der eventuell auch mal ungesichert im Büro oder einem öffentlich zugänglichen Bereich steht, so sollte man sich überlegen, ob man den Rechner nicht etwas absichert. Ganz zu schweigen von der Möglichkeit des Diebstahls, wäre es ein Leichtes den Rechner kurz mit einer Desktop-CD zu booten und so an alle Daten zu gelangen.

Setzt man Computer als öffentliche Terminals ein, so ist es die Aufgabe des Systemverwalters das System so abzusichern, sodass Dritte nichts manipulieren können. Ubuntu ist für diesen Einsatz nicht direkt ausgerüstet. Hier müssen Administratoren mit Fachwissen das System sichern.

Boot-Reihenfolge

Alle Schritte in Richtung lokaler Sicherheit sind sinnlos, wenn es möglich ist, von Wechselmedien zu booten. Man kann das installierte System noch so "dicht" machen, sobald man von einer Live-CD - wie z.B. Knoppix - booten kann, besitzt man Zugriff auf alle Daten.

Daher sollte man die Boot-Reihenfolge im BIOS des Rechners so einstellen, dass als erstes von der Festplatte gebootet wird. Liegt dann beim Systemstart eine bootbare CD im Laufwerk, so wird trotzdem das System von der Festplatte gestartet. Wie man die Bootreihenfolge des Rechners einstellt, findet man im Handbuch des Mainboards bzw. des Laptops.

In vielen Fällen stellt das BIOS aber meist durch den Druck auf eine Taste (z.B. F8 ) ein Bootmenü zur Verfügung, in dem man auswählen kann, von welchem Medium gestartet werden soll - unabhängig von der Reihenfolge im BIOS-Menü.

BIOS-Passwort setzen

Ist die Boot-Reihenfolge angepasst, so ist dies nur der halbe Schritt. Das BIOS sollte noch mit einem Passwort gesichert werden. So kann die Boot-Reihenfolge nicht wieder so gesetzt werden, dass ein Booten von einer CD möglich ist. Allerdings existieren für viele BIOS-Typen Master- oder Supervisor-Passwörter. Ein hundertprozentiger Schutz ist ein BIOS-Passwort daher nicht.

GRUB mit Passwort versehen

Dem jeweiligen Grub-Bootmanager von

kann man zusätzliche Parameter {de} mit auf den Weg geben, mit denen man unter anderem eine sofortige Root-Shell erlangen kann. Dies kann jeder Nutzer tun, der beim Bootvorgang vor dem Rechner sitzt. Daher muss der GRUB-Bootmanager dahingehend abgesichert werden, dass Benutzer zum Ändern der Boot-Einträge ein Passwort benötigen.

Root-Passwort setzen

Durch geschickte Manipulation während des Boot-Vorganges, kann es unter Umständen möglich sein, einen Ausnahmefehler im Boot-Prozess hervorzurufen. Geschieht dies, so springt das System in eine Shell zurück. Ist kein Root-Passwort gesetzt, so erfolgt keine weitere Verifikation und Dritte hätten Root-Rechte auf dem System. Dies kann man nur verhindern, indem man ein Root-Passwort setzt, das man dann im alltäglichen Gebrauch allerdings nicht benutzen muss. Dies ist übrigens die einzige Besonderheit in diesem Artikel, die Ubuntu von anderen Linux-Distributionen unterscheidet, da andere standardmäßig ein Root-Passwort gesetzt haben. Alle anderen hier beschriebenen notwendigen Schritte zur lokalen Systemsicherheit gelten auch für andere Distributionen.

Abschließbares Gehäuse

Das System ist nun soweit abgesichert, dass Dritte ohne Schraubendreher nicht mehr weiter kommen. Allerdings stellt es immer noch kein Problem dar, den Rechner zu öffnen. So könnte man z.B. die Batterie des BIOS ausbauen oder das BIOS zurücksetzen und so einen Passwortschutz ausheben. Zur Not baut man einfach die Festplatte des Systems aus, schließt sie an einen anderen Rechner an und liest über diesen die Daten aus.

Besteht also die Möglichkeit, dass Dritte in Ruhe und ungestört an dem Rechner schrauben können, so sollte man dafür sorgen, dass solche Manipulationen verhindert werden. Speziell für Server oder Bürocomputer gibt es abschließbare Gehäuse. Oftmals sind diese mit einem kleinen Mikroschalter ausgestattet, der am Gehäuse angebracht ist und mit dem Mainboard verbunden wird. Das System kann so erkennen, dass der Rechner geöffnet wurde.

Rechner wegsperren

Steht ein Rechner wirklich im öffentlichen Raum, so sollte durch bauliche Maßnahmen der physikalische Zugriff zum Rechner komplett unterbunden werden. Hat der Benutzer nur noch Zugang zu Tastatur, Maus und Monitor, so sind Manipulationen so gut wie ausgeschlossen.

System verschlüsseln

Befinden sich wirklich relevante Daten z.B. auf einem Notebook, die auf keinen Fall in die Hände Dritter gelangen sollten, so kann man das gesamte System verschlüsseln. Zum Schutz der Daten im Falle eines Diebstahls ist diese Methode ideal und extrem sicher.

Die Systemverschlüsselung beherbergt verschiedene technische und rechtliche Risiken. Ist das System komplett verschlüsselt und geht der Schlüssel verloren, so sind die Daten nichts mehr weiter als binärer Müll. Des weiteren steigt das Risiko, durch die Komplexität des Systems Daten zu verlieren. Und schließlich betrifft die Verschlüsselung nur ein ruhendes System. Ist ein System in Betrieb, so können natürlich alle Prozesse auf die nun entschlüsselten Daten zugreifen.

Ein Angriffspunkt dieser Methode ist die Tatsache, dass Systeme selten komplett "vollverschlüsselt" sind. Dieser Angriff ist außerst unwahrscheinlich, da er sehr tiefes Wissen voraussetzt und ausserdem nicht ohne die unwissentliche Mithilfe des Angegriffenen auskommt. Im Falle eines Diebstahls kann dieser Angriff also nicht greifen, der Vollständigkeit halber soll er aber erwähnt werden: Zum Booten eines Systems ist eine unverschlüsselte Partition notwendig, auf der der Kernel und einige weitere Komponenten liegen, die zum grundlegenden Systemstart benötigt werden. Diese Partition kann ein Angreifer nutzen, um modifizierte Versionen dieser Komponenten einzufügen. Dadurch wäre es möglich, Passwörter bei der nächsten Nutzung des Systems mitzuprotokollieren, zu verändern oder (unbemerkt) zu deaktivieren. Eine Lösung bestünde darin, die Bootpartition auf ein externes Medium auszulagern, welches dann höheren Schutzmaßnahmen unterläge.

Rechtliche Lage

Im Gegensatz zu Großbritannien, wo einem bei Geheimhaltung des Schlüssels durch den RIP Act {de} bis zu zwei Jahren Haft drohen, kann man in den deutschsprachigen Ländern den Schlüssel rechtlich unbeanstandet für sich behalten, da das entschlüsselte Material einen evtl. selber belasten könnte.

Diese Revision wurde am 12. August 2013 21:44 von raphaelo00 erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: System, Sicherheit