cfchris6 wrote:
> On 06/23/2008 08:19 AM, Christian Brabandt wrote:
>> Hm, als Alternative könnte man evtl. mittels udev verhindern, dass
>> überhaupt ein Device-Node angelegt wird (ungefähr so):
>>
>> ,----[ cat /etc/udev/rules.d/01_ignore.rules ]-
>> | KERNEL=="sda5", ATTR{size}=="417627", OPTIONS+="ignore_device"
>> `----
>>
>> Dann hätte niemand ein Gerät zur Verfügung. Man könnte natürlich
>> händisch mit mknod das Gerät anlegen. Aber das sollte doch erstmal
>> eine Hürde sein.
>
> Das sollte keine große Hürde sein, einfach die Regel zu löschen und
> udev neu zu starten.
Spätestens, nachdem das hier in aller Öffentlichkeit breitgetreten
wurde :-)
[...]
> Letze Variante die mir einfällt um den Aufwand für Zugriff auf die
> Partition zu erhöhen: Im Kernel den Support für das entsprechende FS
> deaktivieren, kann aber auch wieder über Fuse umgangen werden oder
> auch die sonstige Nutzbarkeit einschränken.
Die Idee finde ich sehr gut. Fuse ist ja auch ein Kernel-Modul. Wenn
man dann einfach fuse, vfat und ntfs abschaltet, sollte man doch einen
hinreichend guten Schutz haben! Zusammen mit obiger udev-Regel sollte
die obfuscation doch komplett sein.
Noch besser wäre natürlich, den Kernel ohne Modulsupport zu bauen, so
dass nachträglich nichts mehr eingefügt werden kann. Aber das ist wohl
nicht sehr praktisch. Gibt es einen Schalter für den Kernel, der ihm
sagt, dass er keine weiteren Module mehr laden darf?
Man sollte ja immer im Hinterkopf haben, um wen es sich beim
Angreifer handelt. Es macht ja keinen Sinn, sich irgendwelche
Hochsicherheitslösungen auszudenken, wenn die zu schützenden Daten den
Aufwand nicht rechtfertigen. Und das würde ich dabei durchaus so sehen.
Auf den Schulrechnern landet nunmal keine Arbeit, die mehrere Jahre
gewachsen ist und deren Verlust einen herben Rückschlag bedeuten würde.
Zumindest war das zu meiner Schulzeit so...
Attachment:
pgpzuyXCpcLZt.pgp
Description: PGP signature