GRUB2: Sinnvolle Szenarien für Authentifizierung?

[gehrke]

Moin *,

ich sehe mir gerade GRUB2 an. Während mancher der Meinung ist, das sei 'noch so eine inkompatibles vollkommen überdimmensioniertes Tool, für das noch niemand eine vernünftige Doku hier geschreiben hat', versuche ich mir dazu gerade selber eine Meinung zu bilden.
Zumindest glaube ich nicht, dass in absehbarer Zeit die Entwicklung da die Richtung ändern wird. Jedenfalls ist es seit OpenSUSE 12.2 standardmäßig im Einsatz und wir müssen damit klar kommen.


Jetzt zu meinem konkreten Thema: GRUB2 hat einiges an Funktionalität zu bieten, eine davon ist eine Authentifizierung (Password-Schutz).
http://www.gnu.org/software/grub/manual/html_node/Security.html#Security

Ich bin derzeit unsicher, in welchen Situationen dieses Feature sinnvoll einsetzbar ist. Klar ist, dass für qualifizierte Angreifer mit physischem Zugriff das keine ernsthafte Hürde ist. Und leichter wird die Administration an dieser Stelle dadurch sicherlich auch nicht.
Aber das bedeutet ja nicht zwangsweise, dass dies in keinem Szenario sinnvoll ist. Vielleicht bei Netzwerk-Zugriff?

Habt Ihr mehr Fantasie als ich? Was genau sind sinnvolle Szenarien für den Einsatz???
TNX

cu, gehrke

 

[TomcatMJ]

Denk mal an einen Notebook...der muss ja nicht direkt als Ganzes geklaut werden,aber wenn der mal einige Zeit unbeaufsiuchtigt herumsteht könnte jemand ohne Passwortsicherung doch schon ziemlich fix an die Daten rankommen. Und wenn er geklaut wird, erhöht jede Hürde die Wahrscheinlichkeit daß der eventuelle Dieb sich nicht die Mühe macht die Daten auszulesen sondern eher einfach die Platte zu löschen (und somit wäre der Datenzugriff schon etwas unwahrscheinlicher) um den Rechner danach zu verhökern.
Nächstes Szenario: In einer Firma in der Mobbing so nebenher läuft wäre es einem Mobber etwas schwerer gemacht unauffällig in den Rechner eines Kollegen der an dem Tag vielleicht mal etwas später kommt einzudringen um damit Unfug zu treiben, denn das Umgehen des Passwortschutzes frisst da auch wieder etwas mehr Zeit in der der Mobber auffallen könnte.

 

[Anonymous]

Denk mal an einen Notebook...der muss ja nicht direkt als Ganzes geklaut werden,aber wenn der mal einige Zeit unbeaufsiuchtigt herumsteht könnte jemand ohne Passwortsicherung doch schon ziemlich fix an die Daten rankommen.

wenn jemand die Kiste nur mal schnell booten will weil er ganz bestimmte Daten braucht, dann muss er vorher schon wissen das sie da drauf sind und wo sie sind, und was er mitbringen muss um sie wegzutransportieren ohnd das du es bemerkst, du hast bei diesem Spiel also schon vorher verloren.

Und wenn er geklaut wird, erhöht jede Hürde die Wahrscheinlichkeit daß der eventuelle Dieb sich nicht die Mühe macht die Daten auszulesen sondern eher einfach die Platte zu löschen (und somit wäre der Datenzugriff schon etwas unwahrscheinlicher) um den Rechner danach zu verhökern.

wenn einer das Laptop klaut, dann sind ihm entweder die Daten darauf egal, weil er nur die Hardware will, oder er will an die Daten selbst, dann hat er alle Zeit der Welt dazu. Es hetzt ihn ja niemand.

Nächstes Szenario: In einer Firma in der Mobbing so nebenher läuft wäre es einem Mobber etwas schwerer gemacht unauffällig in den Rechner eines Kollegen der an dem Tag vielleicht mal etwas später kommt einzudringen um damit Unfug zu treiben, denn das Umgehen des Passwortschutzes frisst da auch wieder etwas mehr Zeit in der der Mobber auffallen könnte.

Erstens musst du mir mal erklären warum in einer Firma Grub2 überhaupt notwendig wäre. Auch selbst dort wo das noch nicht alles virtualisiert ist, fällt mir kein Szenario dazu ein, zumal die üblichen in einer Firma beschäftigten Admins derzeit sowieso nur Grub kennen, von Grub2 überhaupt keine Ahnung haben, das es überhaupt existiert, da in den Enterprise BS Grub2 gar nicht drin ist, und das deshalb noch nie in eine Schulung überhaupt erwähnt wurde. Wen man doch Grub2 drauf hätte, ist in einer Firma die Wahrscheinlichkeit ziemlich hoch, das die Rechner Nachts in aller Regel durchlaufen sollen, also gar nicht komplett abgeschalten werden, weil nachts Sicherungen gemacht werden und Wartungsarbeiten (Updates, Sicherheitsscans uÄ) regelmäßig gemacht werden. Stromsparen und Sicherheit sind nicht unbedingt auf der selben Seite der Medaille zu finden. Warum sollte ein Admin der in einer Firma die Rechner Installiert (da darf nicht jeder installieren was und wie er es gerne möchte) sich so ein Ei wie Passwortabfrage für den normalen Betriebssystemboot reinlegen, wo schon die Probleme vorprogrammiert sind, kein LDAP, nicht im normalen Remotezugriff erreichbar ...... und die Admin Jungs die die Kisten administrieren sollen und Usersupport leisten, sitzen heutezutage (oder in einer anderen Firma eben erst morgen) nicht selten in Indien oder sonstwo auf der Welt, IT Outsourcing ist auf dem Papier die billigste Lösung, das die hinterher mehr (um nicht zu sagen Unmengen) Geld frisst, und 1000%ige Daten(un)sicherheit garantiert, ist auf im EXCEL shee(i)t bei der Kostenrechnung der modernen Manager überhaupt nicht ersichtlich, geschweige denn ansatzweise überhaupt vorherzusehen. Ein Bootpasswort in dieser Umgebung das nicht jeder Mitarbeiter sowieso kennt

robi

 

[gehrke]

Wie wäre es hiermit:

Aus irgendwelchen Gründen gibt es die Notwendigkeit, ein installiertes OS mit zu schleppen, obwohl dessen Lebenszeit schon längst überschritten ist (sei es Suse 8 oder XP, egal). Das ganze auf einem Notebook.

Wenn ich nun verhindern will, dass das XP unwissentlich in einem unsicheren Umfeld gestartet wird, dann wird es password-geschützt, so dass nur bestimmte User Zugriff haben, welche es dann entweder ganz ohne oder nur in bestimmten Netzen starten.

Für ein Familien-Notebook könnte das wohl ein Anwendungsfall sein, quasi als Schutz vor der eigenen Brut...

 

[gehrke]

Oder hiermit:

Jemand möchte gern kontrollieren, welche Betriebssysteme auf einem System gebootet werden können. Bislang (mit herkömmlichen BootManagern) reichte es, die gewünschten OS zu installieren, im BootManager einzutragen und ansonsten im BIOS das Booten von CD, USB und Netzwerk zu untersagen. Zusammen mit einem Password-Schutz im BIOS war das einigermaßen sicher.

Nun bietet aber GRUB2 viele Möglichkeiten, beispielsweise eine mächtige Kommandozeile, in welcher Boot-Parameter nach Gusto des Users sehr flexibel gewählt werden können. Vermutlich ist es kein Problem, auf diesem Wege das Booten von USB-Stick oder gar aus dem Netz an zu stoßen und damit sämtliche Schutzmaßnahmen im BIOS zu umgehen.

Mit der Authentifizierung könnte man die Kommandozeile exklusiv dem Administrator vorbehalten.

 

[TomcatMJ]

Ein szenario wär noch die Anwendung beim Booten übers Netzwerk, also z.B. LTSP-Umgebungen wo auch noch andere Systeme für die Admins zu Wartungszwecken verfügbar gehalten werden oder als wohl gängistges Umfeld dafür wäre z.B. in Internetcafes die statt den üblichen Hardwarre-Wächterkarten lieber einen Imagerestore aus dem lokalen Netzwerk machen aber Updates für das System dann mit einer anderen Konfiguration fahren wollen die dann natürlich abzusichern wäre.
Wenn man GrUB 2 dann als per Chainload zu ladender zweiten Bootmanager einsetzt kanns sinnvoll sein diesen gegen unberechtigten Zugriff zu sichern so daß wirklich nur die Admins mit Kenntnis des Passowrts die abzusichernden Systeme aus dem Zweitbootmenü laden können. Nicht umsonst kann man schlieslich Bootloader verschiedenster Art auch verketten
Edit:achja, natürlich auch noch eine der relevantesten Anwendungen beim Chainloaden: Wenn z.B. auf einem Wartungsserver in einer EDV-Werkstatt ein nettes kleines Tool wie dban [http://dban.sourceforge.net ] drauf ist sollte man das besser nochmal separat sichern damit keiner (vor llem nicht der kostenlose Schulpraktikant oder ähnliche unbedarfte Leute )im Tran versehentlich alle Datenträger eines Rechners löscht ohne es rechtzeitig mitzubekommen was er da gestartet hat

 

[Herz-von-Hessen]

Hallo gehrke,

Vermutlich ist es kein Problem, auf diesem Wege das Booten von USB-Stick oder gar aus dem Netz an zu stoßen und damit sämtliche Schutzmaßnahmen im BIOS zu umgehen.

Du meinst also das BIOS Passwort wäre sicherer als das vom GRUB?
Es wurde doch schon so oft geschrieben das man durch eine kurzzeitige Entnahme der Pufferbatterie die BIOS Einstellungen und somit auch das Passwort resetten kann.
Wenn jemand Zugriff auf die Hardware hat, dann hat man schon fast verloren, wenn man nicht alle Partitionen verschlüsselt hat (außer Boot)

Lieben Gruß aus Hessen

 

[Jägerschlürfer]

Es wurde doch schon so oft geschrieben das man durch eine kurzzeitige Entnahme der Pufferbatterie die BIOS Einstellungen und somit auch das Passwort resetten kann.

so weit muss man gar nicht gehen. Es reicht gewisse Jumper bzw. Microschalter Einstellungen auf dem Mainboard zu ändern. Stellt man den Jumper bzw. Microschalter wieder zurück ist das alte PW wieder aktiv. D.h. man würde es nicht einmal mitbekommen.

Wenn jemand Zugriff auf die Hardware hat, dann hat man schon fast verloren, wenn man nicht alle Partitionen verschlüsselt hat (außer Boot)

Und genau da würde ich ansetzen. Einfach die Partitionen entsprechend verchlüsseln und gut ist.

 

[gehrke]

Vermutlich ist es kein Problem, auf diesem Wege das Booten von USB-Stick oder gar aus dem Netz an zu stoßen und damit sämtliche Schutzmaßnahmen im BIOS zu umgehen.

Du meinst also das BIOS Passwort wäre sicherer als das vom GRUB?

Wie kommst Du denn da drauf? Ich habe nichts dergleichen geschrieben.

Ich habe vielmehr darauf hingewiesen, dass der Schutz (wie gut oder schlecht er auch sein mag), den ein BIOS-Passwort in Kombination mit GRUB Legacy bislang bot, durch die erweiterten Möglichkeiten von GRUB2 ausgehebelt werden, wenn man nicht nachjustiert. Und für manche Einsatzszenarien mag das auch ausreichend sein, dass ist eine Einzelfallentscheidung.

Es wurde doch schon so oft geschrieben das man durch eine kurzzeitige Entnahme der Pufferbatterie die BIOS Einstellungen und somit auch das Passwort resetten kann.
Wenn jemand Zugriff auf die Hardware hat, dann hat man schon fast verloren, wenn man nicht alle Partitionen verschlüsselt hat (außer Boot)

Das ist mir durchaus bekannt, vielen Dank. Bedenke aber bitte, dass es bei IT-Sicherheit nicht immer um die 100%ige Sicherheit geht, die es sowieso nicht gibt. Es geht immer nur darum, die Hürden hoch genug zu hängen, dass ein angemessenes Schutzbedürfnis umgesetzt werden kann.

Da reicht für manche Fälle durchaus ein Schutz, der solange wirkt, wie die Büchse nicht auseinander gebaut wird. Beispiele hierfür könnten beispielsweise beaufsichtigte öffentliche Systeme in Internet-Cafes, Schulen oder Bibliotheken sein. Ein solches System vor Ort auseinander zu schrauben ist eher auffällig, aber einen Boot-Stick einzustecken und ein beliebiges System zu starten möglicherweise nicht.

Im krassen Gegensatz dazu reicht bei anderen Szenarien selbst das von Dir skizzierte Vorgehen bei weitem nicht aus, denn der Verzicht auf des Verschlüsseln der Boot-Partition birgt ebenfalls Gefahren, die bei den richtigen Angreifern schnell zum Desaster werden.

Siehe: http://linupedia.org/opensuse/Partitionierung_eines_komplett_verschlüsselten_Linux-Systems

Man kann IT-Sicherheit nicht pauschal über einen Kamm scheren. Die Anstrengungen müssen dem Risiko und Schaden angemessen sein.


cu, gehrke