Re: System vor Zugriff schuetzen
At Wed, 5 Nov 2008 20:48:15 +0100,
Tobias Nissen wrote:
Hallo,
> >> Wie verhindere ich nun, dass dort vor Ort auf die Daten (Skripte,
> >> Konfiguration) des Servers von Unbefugten zugegriffen werden kann?
Gar nicht. Wer physikalischen Zugriff zum Recher hat, hat die totale Kontrolle.
> > Du könntest ein _Agreement_ mit dem "Kunden" aufsetzen. Du verbietest
> > jeglichen Zugriff und prüfst dies mit Checksummen usw. Nicht
> > sonderlich toll.
Nein, nicht toll, denn die Checksummen koennen von dem, der phsikalisch Zugriff auf den Rechner hat, beliebig manipuliert werden. Er macht erstmal eine Kopie, die er dir zum Checksummen erzeugen vorspiegelt, und jedesmal wenn du die pruefst, wirst du darauf hin weitergeleitet. Eine einfache Variante eines "man in the middle".
> Es geht ein bisschen auch darum, dass die Idee, sprich der Quellcode,
> nicht geklaut und weiterverwendet werden kann.
Und andere haben physikalischen Zugriff auf die Maschine? Keine Chance.
> > Ohne Fremdeingriffe wird schwer. Man könnte jedoch eine Art
> > Vorumgebung booten, welche dann mit vorhandenem Internetanschluss bei
> > dir auf deinem externen Server(ES) ein Keyfile bezieht, was die
> > eigentlichen Partitionen mit Konfigurationen usw. freischaltet.
Du weisst, wie ein "man in the middle" Angriff funktioniert?
> > hättest die Möglichkeit, die Zugangsdaten für das Keyfile innerhalb
> > der Vorumgebung zu verstecken. Auch könnte man beim Abfragen des
> > Keyfiles einen Check mit einbauen, welcher einige Komponenten des
> > Systems als Prüfung ausliest
> Oh ja, das ist kompliziert aber nett. Ich denke auch, dass Security by
> Obscurity das einzige ist, was hier hilft.
Es hilft nicht, es ist dumm. Dumm, sich in Sicherheit zu wiegen, obwohl man es besser weiss.
Das ist keinesfalls boese gemeint!
Wenn jemand physikalischen ungestoerten Zugriff auf den Rechner hat, den du sichern willst,
dann ist dein Vorhaben irreal. Du solltest in einem solchen Falle ueber die physikalische Sicherung des Servers nachdenken.
Reply to: