Es geht zb. um folgende Problemstellung:einige Journalsten (und moeglicherweise auch Anwaelte) moechten einen abhoersicheren Kommunikationskanal zu Informanten / Mandanten. Dies bietet - wie wir wissen - das Telefon nicht. PGP kommt ebenfalls nicht in Frage wegen der Umstaendlichkeit: die Betreiber koennten es zwar bedienen, aber die Informanten / Klienten ebenfalls davon zu ueberzeugen, ist in vielen Faellen ausgeschlossen. Eine der verbleibenden Moeglichkeiten ist der mit SSL gesicherte Chat: hierfuer gibt es zb. Java-Clients, die im WebBrowser arbeiten. Der Benutzer muss also wenig mehr tun, als den Browser mit der entsprechenden URL zu starten, was er zb. im Internetcafe tun kann (die potenzielle Unsicherheit des Internetcafes ist dabei nicht sehr relevant: es kann leicht gewechselt werden, so dass ein Angriff hier nicht erfolgversprechend ist)..
Eine der groessten Sicherheitsluecken besteht beim Server: wenn der Admin nicht als absolut zuverlaessig gelten kann und eine regelmaessige / permanente Ueberwachung des Servers besteht. Sobald also potenzielle Angreifer (zuverlaessigste Kandidaten kommen zb. aus der russischen Mafia) erst einmal den Kommunikationskanal identifiziert haben, ist das Thema erledigt: man kauft sich zb. den Administrator (als Angestellten eines Providers, der sich im Zweifel ueber einen unversteuerten Nebenverdienst freut) oder hackt sich in das System.
Vor eniger Zeit hatten wir auch einen Spiegel-Bericht zur Industriespionage: betroffene Unternehmen, deren Patente vor der Anmeldung auf "unerklaerlichen Wegen" die Konkurrenz erreichten, haben z.T. jeglichen elektronischen Verkehr deshalb abgestellt.
Die Variante "zuverlaessiger, unbestechlicher, unermuedlicher Administrator" ist so ziemlich die teuerste, die man sich vorstellen kann (sieht uebers Jahr gerechnet nach einem 6-stelligen Etat aus). Demgegenueber wird es attraktiv, wenn ein Debian-System als administratorfreie Blackbox funktionieren koennte. Wenn eine solche Blackbox zb. im Rythmus von 1 - 2 Monaten upgedatet wird, wobei der Vorgang des Updates ebenfalls vollstaendig der Ueberwachung unterliegt (dem Operator keine weiteren Moeglichkeiten zum Eingriff bietet), dann waere dies eine vergleichsweise pflegeleichte Variante.
Oder ein System, das wie Knoppix von CD laeuft, und damit Veraenderungen weitestgehend ausschliesst.
Mir scheint, dass es hier durchaus noch unblutige Moeglichkeiten gibt (also ohne Administratorerschiessung) , mit einem solchen Auftrag ans Ziel zu kommen.
Gruss / GW Markus Heller schrieb:
Hallo Gerhard,gibt es Moeglichkeiten, ein Debian so zu haerten, dass Daten selbst vor dem Zugff des Administrators geschuetzt werden ? Es geht um die Moeglichkeit eines rootkit-Angriffs oder anderweitiges Hacken des Root-Zugangs (und manch einer sagt, dss die schwersten Angriffe auf die Sicherheit ohnehn von innen kommen). Eine Option, die mir hierzu einfaellt, waere noch nicht eimal die absolute Sicherheit von Daten, aber das unbedingte Loggen jeglichen Zugriffs auf sie, und der Schutz der Protokolle durch geeignete Massnahmen in einer Weise, dass jeder Angriff Spuren hinterlaesst. Oder das "Wegwerfen des Schlussels" also des Rootpasswort und das Verbleiben von Admins mit begrenzten Rootrechten, so dass ein Teil des Systems zur "blackbox" wird, der gerade noch die Beobachtung aber keinen Eingriff erlaubt ?zuerst einmal solltest Du dich vom Traum verabschieden, daß man ein System zu 100% sicher bekommen kann. Das geht nicht. Sicherheit ist schließlich nicht mehr als ein Gefühl: Das Gefühl des Admins abends beim Bier vor der Glotze, daß morgen alles noch genauso sein wird. Insofern sind Windows-Rechner auch "sicher" zu bekommen. Du siehst, wie lächerlich diese ganze Sicherheitsdiskussion ist. Die Frage ist, welche Bedrohungen es gibt, und welche Maßnahmen man dagegen ergreifen kann. Wenn man die Bedrohung eines Einbruchs von außen in ein System für möglich erachtet, ist es gröbst fahrlässig, die Handlungsfreiheit eines Admins zu beschränken. Du mußt schon sagen, welchen Hack Du erwartest, damit wir Dir hier Maßnahmen empfehlen können. Ansonsten geh mal goooogln nach dem Begriff "capabilities". Vielleicht findest Du auch Hinweise im NSA-Projekt "SELinux". Die haben auch versucht, Rechte filigraner zu gestalten. Nur: Wenn Du das einsetzt, solltest Du genau wissen, wovor Dich so etwas schützt, bevor Du dich "sicher" fühlst. Eine Risikostrategie gehört auch zum Portfolio eines professionellen Systembertreibers. Die Frage ist auch, wie wertvoll die Daten sind, die geschützt werden sollen. Es bringt nix, einen 20-Tonnen-Tresor zu kaufen, wenn Du das Lego-Spielzeug Deines kleinen Sohns vor Zerstörung schützen willst.Viele Grüße Markus