per limitare la possibilita' che un utente normale possa guadagnare i privilegi di root in una macchina Linux utilizzando una distro LIVE ecco due piccoli accorgimenti, tanto banali quanto efficaci:
- disabilitare da bios la possibilita' di avviare il sistema da floppy, LAN, CD ROM e dispositivi USB
- inserire una password "difficile" nel bios per il superuser
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Scusate, volevo inserirlo in pilloline per rispondere a Mikol, se il moderatore potesse cancellarlo mi farebbe un favore, grazie
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
se ne era gia discusso, e weseven ha fatto notare che togliendo la batteria tampone della scheda madre per qualche minuto, la password del bios và persa insieme a tutte le impostazioni, quindi si è da capo, perchè si può entrare nel bios per riattivare il boot da cd. La soluzione migliore probabilmente è una bella cassa forte...Originariamente inviato da pilovis
per limitare la possibilita' che un utente normale possa guadagnare i privilegi di root in una macchina Linux utilizzando una distro LIVE ecco due piccoli accorgimenti, tanto banali quanto efficaci:
- disabilitare da bios la possibilita' di avviare il sistema da floppy, LAN, CD ROM e dispositivi USB
- inserire una password "difficile" nel bios per il superuser
"L'utopia è come l'orizzonte: cammino due passi, e si allontana di due passi. Cammino di dieci passi, e si allontana di dieci passi. E allora, a cosa serve l'utopia? A questo: serve per continuare a camminare."
Eduardo Galeano
Il mio sito
"if you want people to RTFM, make a better FM!"
per un utente esperto quasi tutte le misure precauzionali sono aggirabili, in un modo o in un altro.
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
La batteria tampone del bios si puo' saldare con due gocce di stagno, tanto dura piu' di quanto dura il PC
Se non si vuole saldare basta una colata di silicone sopra di essa.
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
Con l'accesso fisico alla macchina si può fare tutto, è inutile! Se tu saldi la batteria trovi il furbo che stacca l'HD lo collega come HD esterno e la ha fatta finita... A quel punto l'unica è avere il filesystem criptato, ma criptato bene!
Esistono i vecchissimi comandi di debug dei bios, che permettono di resettarlo via software inoltre!
E poi, il cd live di linux è utile non solo in caso di macchine linux... ma anche di macchine windows!
Penso che allora bisognerebbe fissare anche il jumper del CMOS.Originariamente inviato da pilovis
La batteria tampone del bios si puo' saldare con due gocce di stagno, tanto dura piu' di quanto dura il PC
Se non si vuole saldare basta una colata di silicone sopra di essa.
"Guardateli i credenti di tutte le religioni! Chi odiano essi più di ogni altro? Colui che spezza le lor tavole dei valori, il violatore, il corruttore. Ma questi è colui che crea." Nietzsche
poi ?Originariamente inviato da spqr
Penso che allora bisognerebbe fissare anche il jumper del CMOS.
vogliamo lucchettare il case, metterlo in una colata di cemento in una stanza segreta senza rete/tastiera e per stare tranquilli... due guardie davanti alla porta ?
secondo me, e' stato perso di vista il buon proposito del messaggio di pilovis, ironico anche nel titolo del thread tra l'altro. E' una soluzione che va benissimo in molti casi, se poi un utente ha la possibilita' di smontare / pasticciare / ecc sul computer invece di lavorare... e' tutta un altra storia!
il tutto ovviamente IMHO.
ciao!
slack? smack!
Originariamente inviato da cacao74
poi ?
vogliamo lucchettare il case, metterlo in una colata di cemento in una stanza segreta senza rete/tastiera e per stare tranquilli... due guardie davanti alla porta ?
secondo me, e' stato perso di vista il buon proposito del messaggio di pilovis, ironico anche nel titolo del thread tra l'altro. E' una soluzione che va benissimo in molti casi, se poi un utente ha la possibilita' di smontare / pasticciare / ecc sul computer invece di lavorare... e' tutta un altra storia!
il tutto ovviamente IMHO.
ciao!
A parte gli scherzi, una volta che "blindi" il pc da un punto di vista di software, poi per l'hardware non c'è problema: la scatola lucchettata è una soluzione che ho visto sul serio applicata!
Il tutto ovviamente vale per aule di informatica et similia che hanno questo tipo di necessità, non certo per il pc di casa!
Indipendentemente da ciò, la pillolina di pilovis è come sempre interessante e utilissima!
"Guardateli i credenti di tutte le religioni! Chi odiano essi più di ogni altro? Colui che spezza le lor tavole dei valori, il violatore, il corruttore. Ma questi è colui che crea." Nietzsche
in sostanza, disattivare il boot da CD, floppy, USB ed ogni altro tipo di periferica ... sempre che non se ne abbia bisogno ...
Altrimenti siamo da capo.
... S'i' fosse Giorgio, com'i' sono e fui,
torrei le donne giovani e leggiadre:
le vecchie e laide lasserei altrui....
Non mandatemi PVT, mi dimentico sempre di leggerli ... mandatemi e-mail, se è il caso
Permessi di invio
Rispondi quotando