Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
15.06.2019, 23:10:41

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
Statistiken
  • Beiträge insgesamt: 594190
  • Themen insgesamt: 48132
  • Heute online: 525
  • Am meisten online: 992
  • (17.11.2018, 20:17:55)
Benutzer Online

Autor Thema: [gelöst]  Sicherheitslücke oder Feature? Boot 'n' root ohne PW!  (Gelesen 1243 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[gelöst] Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« am: 18.12.2018, 20:59:00 »
Dass auch Linux nicht 100% sicher ist, dürfte Jedem klar sein. Ohne Aluhut (also angenommen, die immer vorhandenen Sicherheitslücken in der installierten Software sind tolerierbar) war ich mir - abgesehen vom Hardware-Ausfall - folgender Risiken bei physischem Rechnerzugang bewusst:

1. Jeder User kann in der Standardinstallation die Dateien jedes anderen Users lesen (nicht ändern) -> lässt sich beheben (Rechtevergabe und/oder Verschlüsselung)
2. Mittels USB-Stick kann Jeder z.B. eine Live-ISO booten und die Daten der eingebauten Platte(n) auslesen -> lässt sich beheben (USB-Boot im BIOS/UEFI verhindern und/oder Verschlüsselung)
3. Solange man root kein PW zugewiesen hat (z.Z. Standard in LM), kann man vom Grub-Menü aus ins Recovery-Menü booten und dort als root alles machen -> lässt sich beheben (passwd root und/oder Verschlüsselung)

So weit, so gut. Da ich einer Voll- oder home-Verschlüsselung etwas kritisch gegenüberstehe (im Zweifel kommt man eben selbst auch nicht mehr von außen an seine Daten dran, und alle Voll-Backups mit Clonezilla sind dann ebenfalls vorverschlüsselt), habe ich bislang auf die angegebenen Alternativen gesetzt und nur einen einzelnen Ordner innerhalb home mittels ecryptfs verschlüsselt.

Bis ich vor kurzem von einer weiteren Möglichkeit erfahren habe, auf die ausgerechnet Clem selbst (der LM-Chef) hinweist:
https://blog.linuxmint.com/?p=3662#comment-146751
Ihm dürfte das also bewusst sein, mir bislang zumindest noch nicht (und ich denke Vielen hier ebenfalls nicht, sonst würde ich diese Info nicht teilen - oder ist das ein alter Hut?). Verfahren:

Im Grub-Menü den normalen LM-Boot-Eintrag temporär mittels "e" editieren und hinter "quiet splash" (soweit vorhanden) "rw init=/bin/bash" eintragen. Start mit F10.
Dann landet man ohne weitere Eingabe(!) in einer root-shell, in der man sich austoben kann, selbst wenn man zuvor ein root-PW vergeben hatte.*

Ich hätte nun schon einige Bedenken, meinen Rechner länger als 2 Minuten wegzugeben (und sei es nur an die eigenen Kinder, die ihn mal zum Spaß "knacken" wollen).
Auch diese Lücke lässt sich beheben -> Grub nicht installieren (habe ich noch nie gemacht; ich sehe da auch Probleme, wenn man mal zwischen verschiedenen Kernels wechseln möchte) - oder wiederum Verschlüsselung.
Meine komplette Installation in eine VM zu verlagern halte ich bei einem Durchschnitts-Notebook auch nicht für praktikabel.

Wenn jemand von euch eine bessere Lösung für dieses Problem hat, weitere "Features" dieser Art kennt oder schon einmal eine LM-UEFI-Installation ohne Grub durchgeführt hat - immer her damit!

* Ich sollte für die Experimentierfreudigen vielleicht noch erwähnen, dass man aus der root shell nicht so ohne Weiteres wieder rauskommt: reboot klappt nur mit "reboot -f" (s. Info von tml weiter unten), exit liefert bei mir eine Kernel Panic. Magic SysRQ funktioniert aber...
« Letzte Änderung: 13.01.2019, 22:05:43 von Lando »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #1 am: 12.01.2019, 15:08:49 »
oder ist das ein alter Hut?
Ja.
12.09.2018: https://www.linuxmintusers.de/index.php?topic=50853
19.09.2015: https://www.linuxmintusers.de/index.php?topic=29221.0

Zitat
reboot klappt nicht
Probier' es mal mit
reboot -f
« Letzte Änderung: 12.01.2019, 18:29:15 von tml »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #2 am: 12.01.2019, 18:09:58 »
Das ist auch eine zweischneidige Sache. Wenn Du das System völlig wasserdicht machen willst, kommst du halt im Notfall selbst nicht mehr dran. Die "Verschlüsseler" können ein Lied davon singen.
Wer physischen Zugang zum Rechner hat, kommt auch an die Daten ( siehe zB Punkt 2).
Das zu unterbinden … siehe oben.
Kinder und andere Kindsköpfe haben an meinem Rechner nichts zu suchen.

Ich denke, ein relativ vernünftiger Weg ist ein verschlüsselter Container, in der man seine sensiblen Daten unterbringt und den man nur bei Bedarf öffnet.
« Letzte Änderung: 12.01.2019, 18:13:00 von aexe »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #3 am: 12.01.2019, 20:27:35 »
@tml
Zitat
reboot -f
wird auch nicht gehen, weil reboot gar nicht akzeptiert wird. Ist aber auch nicht wild, kam mir nur auf einen Test an.
OK, alter Hut und gut. War kurz beunruhigt. Wenn man die Gefahr kennt, kann man sie ja eingrenzen (und wenn es die abschließbare Bürotür ist).

thebookkeeper

  • aka AnanasDampf
  • *****
Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #4 am: 12.01.2019, 23:20:33 »
... vor kurzem von einer weiteren Möglichkeit erfahren habe, auf die ausgerechnet Clem selbst (der LM-Chef) hinweist:
https://blog.linuxmint.com/?p=3662#comment-146751 ...
Ich bin jetzt zu faul zum testen, aber ich gehe davon aus, dass das auch nicht mehr funktioniert wenn root vorher ein PW zugewiesen wurde. Ähnlich der
Recovery-Variante.
... Solange man root kein PW zugewiesen hat (z.Z. Standard in LM), kann man vom Grub-Menü aus ins Recovery-Menü booten und dort als root alles machen -> lässt sich beheben (passwd root und/oder Verschlüsselung) ...

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #5 am: 12.01.2019, 23:44:51 »
Off-Topic:
Ich bin jetzt zu faul zum testen
Das ist aber gerade der interessante Teil.  :) 8)
« Letzte Änderung: 13.01.2019, 10:23:39 von Moridian »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #6 am: 13.01.2019, 00:34:02 »
wird auch nicht gehen, weil reboot gar nicht akzeptiert wird
Funktioniert hier einwandfrei ;)

ich gehe davon aus, dass das auch nicht mehr funktioniert wenn root vorher ein PW zugewiesen wurde
Kannst du gerne von ausgehen...
« Letzte Änderung: 13.01.2019, 01:17:32 von tml »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #7 am: 13.01.2019, 01:46:55 »
Im Grub-Menü den normalen LM-Boot-Eintrag temporär mittels "e" editieren
Genau das kann verhindert werden, indem es mit einem Passwort absichert wird:

1. Passwort erstellen, natürlich verschlüsselt:
grub-mkpasswd-pbkdf2
2. Berechtigte Benutzer festlegen (in diesem Beispiel nur einen):
sudo nano /etc/grub.d/40_custom
Folgenden Eintrag vornehmen:
set superusers="benutzername"
password_pbkdf2 benutzername grub.pbkdf2.sha512.10000.5ACB14716D722E4523CC8DE98F97......
Hier zwei mal den Benutzernamen eintragen und das Passwort (den hash unter Punkt 1)

3. Passwortabfrage auf das Editieren des Grub-Menüs beschränken:
sudo nano /etc/grub.d/10_linux
Suchen:
      echo "menuentry '$(echo "$title" | grub_quote)' ${CLASS} \$menuentry_id_option 'gnulinux-$version-$type-$boot_device_id' {" | sed "s/^/$submenu_indentation/"
  else
      echo "menuentry '$(echo "$os" | grub_quote)' ${CLASS} \$menuentry_id_option 'gnulinux-simple-$boot_device_id' {" | sed "s/^/$submenu_indentation/"

und "--unrestricted" einfügen:
      echo "menuentry '$(echo "$title" | grub_quote)' --unrestricted ${CLASS} \$menuentry_id_option 'gnulinux-$version-$type-$boot_device_id' {" | sed "s/^/$submenu_indentation/"
  else
      echo "menuentry '$(echo "$os" | grub_quote)' --unrestricted ${CLASS} \$menuentry_id_option 'gnulinux-simple-$boot_device_id' {" | sed "s/^/$submenu_indentation/"

Jetzt noch ein
sudo update-grub
und beim nächsten Versuch, das Grub-Menü zu editieren, wird eine Nutzer- und Passwort-Abfrage erscheinen.
« Letzte Änderung: 13.01.2019, 09:52:41 von tml »

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #8 am: 13.01.2019, 02:01:23 »
@tml
Abgefahren! Sehr coole Lösung. In der Implementierung etwas umständlich für den Durchschnittsnutzer, aber in der Ausführung genau das, was ich gesucht habe. Merci! Werde ich nach dem Ausschlafen testen...

Hab' auch gerade nochmal reboot -f probiert, weil ich mir nicht vorstellen konnte, dass es bei dir klappt und bei mir nicht - damit funktioniert es tatsächlich. Ohne "-f" meckert er am nicht-systemd-Start rum, mit startet er anstandslos neu. Auch dafür danke.

thebookkeeper

  • aka AnanasDampf
  • *****
Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #9 am: 13.01.2019, 06:10:14 »
ich gehe davon aus, dass das auch nicht mehr funktioniert wenn root vorher ein PW zugewiesen wurde
Kannst du gerne von ausgehen...
Jetzt nicht mehr, hab getestet, root-PW schützt nicht bei dieser Variante.

Aber für die komplizierte Lösung hier kann ich mich nicht begeistern. Eigentlich könnte man doch den grub gegen lilo tauschen?

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #10 am: 13.01.2019, 06:42:23 »
"lilo" erinnert mich irgendwie an meine Anfänge, mit Suse-Linux, so um die Jahrtausendwende.
Muss ich nicht mehr haben, da kommt keine Nostalgie auf. 
Das Ding ist doch seit mindestens 15 Jahren veraltet und wird nicht mehr weiter entwickelt.
Typisches Beispiel, wie man sich im Wahn wegen mehr oder weniger exotischen Sicherheitslücken  handfeste Nachteile einhandeln könnte, ohne viel zu gewinnen.
Sicher ist, dass lilo (Linux-Loader) nicht mit Verschlüsselung, Kompression und RAID umgehen kann (kann keine Dateisysteme lesen). Wie der mit UEFI zurechtkommt und was es sonst inzwischen alles noch gibt … sehr fraglich, denke ich.
Was damit weniger kompliziert wird und begeistern soll, muss noch geklärt werden.

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #11 am: 13.01.2019, 22:05:27 »
Vorschlag von tml getestet (mit PW-Schutz die grub-Editierung beim Boot einschränken):
funktioniert einwandfrei. Der Benutzername kann frei gewählt werden, PW wird ausschließlich beim Editierversuch abgefragt.

Ich setze mal das "gelöst"-Tag, auch wenn es mehr zur Diskussionsanregung als als Hilfegesuch gedacht war.

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #12 am: 14.01.2019, 08:57:48 »
Wichtiger Hinweis:

Ich habe gerade festgestellt, dass es mit der oben beschriebenen Methode auf manchen Rechnern, die einen Dualboot z.B. mit Windows 10 eingerichtet haben, zu Problemen kommen kann.

Merkwürdiger Weise wurde nach Windowsstart und anschließendem Neustart immer Benutzername und Passwort abgefragt. Der Grund hat sich mir noch nicht erschlossen.

Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #13 am: 14.01.2019, 10:25:23 »
Was lilo lösen würde ist mir nicht ganz klar. Dass man eine beliebige Datei laden kann und damit auch eine Shell hat eher mit dem Aufbau und Zusammenspiel aus Bootloader, Init System und Kernel zu tun. Zudem wird lilo nicht mehr aktiv entwickelt

Eine Sicherheitslücke ist es nicht, weil eine Sicherheitslücke idR dann vorliegt wenn eine explizit gesetzte oder als implizit notwendig empfundene Sicherheitsrichtlinie überwunden wird, was hier nicht der Fall ist, außer man hat eben falsche Vorstellungen vom Bootprozess. In der Praxis kann das natürlich zu einer Beeinträchtigung der Sicherheit führen, aber halt ebenso wie alle falschen Annahmen über Soft- oder Hardware dazu führen.

Gegen physischen Zugriff hilft nur eine gute Verschlüsselung, war schon immer so, wird wohl auch so bleiben. In welchem Szenario hat denn jemand Zeit und Wille in deinem Grub Menu etwas zu editieren um dir zu schaden aber kann definitiv nicht den Laptop mitnehmen? Mein 14 Zoll Arbeitsgerät passt selbst unters T-Shirt, wenn das jemand mit bösen Absichten anfassen kann ohne dass ich hingucke ist es im Zweifelsfall halt weg.

lennartware

lennartware

thebookkeeper

  • aka AnanasDampf
  • *****
Re: Sicherheitslücke oder Feature? Boot 'n' root ohne PW!
« Antwort #14 am: 14.01.2019, 20:27:19 »
Eine Sicherheitslücke ist es nicht ...
Ist es doch, nach meiner Ansicht.

... In welchem Szenario hat denn jemand Zeit und Wille in deinem Grub Menu etwas zu editieren um dir zu schaden ...
Wenn der Linux-PC beispielsweise als Buchhaltungsarbeitsplatz im Büro genutzt wird,
könnte sich ein anderer Kollege einloggen und wichtige Buchhaltungsdaten manipulieren.

Wenn ich mich richtig erinnere, editiert Lilo nicht das Bootmenü, braucht man dann nicht verhindern.

Die Anleitung von tml funktioniert bei mir nur teilweise, das Passwort wurde nicht angenommen im Grub.



Aber Originalanleitung => https://wiki.ubuntuusers.de/GRUB_2/Konfiguration/#Grub-Menue-absichern funktioniert bei mir (18.04 bionic)
nachdem ich die Passworteinträge
export superusers
set superusers="BENUTZERNAME-1"
password_pbkdf2 <BENUTZERNAME-1> grub.pbkdf2.sha512.10000.<salted.passwd>
in Datei pbkdf2.lst eingefügt bzw. in /boot/ abgelegt habe. In meiner /etc/grub.d/40_custom musste ich einfügen:
if [ -f /boot/pbkdf2.lst ]; then
   source /boot/pbkdf2.lst
fi
« Letzte Änderung: 16.01.2019, 01:02:42 von thebookkeeper »