Experiment Linux och säkerhet

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

Experiment Linux och säkerhet

Hej jag har inget av värde i mina datorer, förutom privata familjefoton, men tanken att någon kan göra intrång känns jobbigt, för man vet ju inte om det hänt eller händer när man kör Linux.

Jag har tittat på lite olika lösningar såsom Tripwire, det förhindrar inte ett intrång, men visar om ett har hänt utan att hackaren kan dölja sitt intrång. Det fungerar så att du skapar ett databas över alla dina filer på ditt Linux operativ och sparar den på en USB nyckel med lösenord, så om någon gör intrång så kan dom inte komma åt databasen och om dom ändrar nåt eller lägger till något spionprogram, så kommer du se detta när du kör database mot datorn nästa gång du gör en säkerhetskontroll.

Men hålla på att kolla datorn med Tripwire databas känns jobbigt, utan tänkt mig en lösning där det inte finns något som helst oro.

Då kom jag på den enkla lösningen att installera Linux på ett SD minne med USB sticka.
SD minnet har en knapp för "read only" och då kan man inte lägga till några spionprogram eller modifiera någonting.
Linux systemet är immun mot allt förutom att någon kan lägga till något i ram minnet, men det töms när du stänger av eller startar om datorn.

Väldigt praktiskt om man använder sin laptop på offentliga platser.

Bara sätta SD minnet i vanligt läge när man ska uppdatera systemet och när man laddar ned program eller filer som inte kommer från distrons server så kan man kontrollera genom MD5 checksum. Betrodda nätverk som knappast hackas eller innehåller spionprogram eller annan skit.

Man kan ju köra en vanlig burk hemma på samma sätt. Behöver inte vara en laptop.
Det finns färdiga distros såsom Tails bland andra som redan är skräddarsydda för "read only" och köras från USB sticka eller "read only cd" ...

Experiment lusten är på topp

Trädvy Permalänk
Avstängd
Registrerad
Jul 2017

@pompado: Intressanta tankar! Linux är som bekant ett väldigt säkert operativsystem, även om inget OS är helt säkert, särskilt inte nu när alla enheter är uppkopplade mot webben.

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012

@pompado: Bra idé med SD minnet, ska testa det.

Finns även Qubes OS som fokuserar på säkerhet:
https://www.qubes-os.org/
”Qubes takes an approach called security by compartmentalization, which allows you to compartmentalize the various parts of your digital life into securely isolated compartments called qubes.”

Här finns mycket bra info om säkerhet på nätet:
https://www.privacytools.io/

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Apr 2014

Intressant idé. Men hur ska man kunna använda datorn till vardags om hela lagringsutrymmet är read-only?

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2007

@pompado: Jag är lite nyfiken på hur det fungerar med en installation på ett minne som bara är läsbart. Jag tänker på till exempel /var och /tmp. Går det att göra bara en del av minnet skrivbart så en kan mounta de katalogerna där?

Tails verkar vara en najs distribution. Personligen gillar jag OpenBSD som känns som ett stabilt och säkert OS.

Ser fram emot vad du kommer fram till med dina experiment

Trädvy Permalänk
Medlem
Registrerad
Mar 2016

TS menar nog att endast program + os disken är skrivskyddad. Om det skall fungera som tänkt borde övriga diskar vara monterade med noexec flaggan.

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012
Skrivet av Marsupilami:

Intressant idé. Men hur ska man kunna använda datorn till vardags om hela lagringsutrymmet är read-only?

Tanken är väl att använda det när man behöver extra säkerhet. Och man kan väl fortfarande skriva till andra diskar/minnen? Har inte testat själv, så vet inte hur bra det fungerar.

Hastigheten blir nog ganska låg jämfört med en intern SSD, så det kanske inte är vad man vill använda till vardags.

Trädvy Permalänk
Rekordmedlem
Plats
Salstad
Registrerad
Feb 2009
Skrivet av Rick69:

Tanken är väl att använda det när man behöver extra säkerhet. Och man kan väl fortfarande skriva till andra diskar/minnen? Har inte testat själv, så vet inte hur bra det fungerar.

Hastigheten blir nog ganska låg jämfört med en intern SSD, så det kanske inte är vad man vill använda till vardags.

Det finns linuxversioner som är tänkta att helt rymmas i ram och det lär bli inte så mycket snabbare än det, linux är inte win
Däremot kan man väl fundera på vad som är en vettig säkerhetsnivå mot hur mycket bekvämlighet man är villig att avstå.

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Trädvy Permalänk
Medlem
Registrerad
Mar 2010
Skrivet av pompado:

Då kom jag på den enkla lösningen att installera Linux på ett SD minne med USB sticka.
SD minnet har en knapp för "read only" och då kan man inte lägga till några spionprogram eller modifiera någonting.

Värt att notera är att SD-kortet i sig inte innehåller någon controller, utan den sitter väl som jag förstår i kortläsaren. P.g.a. detta är inte read-only-brytaren inte nödvändigtvis någon säkerhet i sig då det enda den gör är att skicka en instruktion till kortläsaren att den inte får ändra på innehållet, något som kortläsaren själv kan välja att följa eller ignorera. Beroende på hur tillverkaren av kortläsaren ser på detta så är det alltså inte säkert att det fungerar som du tror. I vissa fall kan även denna funktionalitet ändras genom att man kontrollerar firmware för kortläsaren via datorn.

Läs mer om detta på https://en.wikipedia.org/wiki/Secure_Digital#Write-protect_no...

Det är med andra ord lite samma problem som med webcams, där indikatorlampan som tänds när kameran är aktiv i vissa fall (tyvärr allt för ofta) går att stänga av genom firmware, beroende på hur den är tillverkad.

Annars bör du kunna uppnå likvärdig säkerhet genom att montera delar av filsystemet som read-only vid boot, och en del som RAMDisk, även på en hårddisk/SSD. När du ska ändra något bootar du om och monterar tillfälligt som read/write.

Trädvy Permalänk
Medlem
Registrerad
Feb 2009
Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007
Skrivet av pompado:

Hej jag har inget av värde i mina datorer, förutom privata familjefoton, men tanken att någon kan göra intrång känns jobbigt, för man vet ju inte om det hänt eller händer när man kör Linux.

Jag har tittat på lite olika lösningar såsom Tripwire, det förhindrar inte ett intrång, men visar om ett har hänt utan att hackaren kan dölja sitt intrång. Det fungerar så att du skapar ett databas över alla dina filer på ditt Linux operativ och sparar den på en USB nyckel med lösenord, så om någon gör intrång så kan dom inte komma åt databasen och om dom ändrar nåt eller lägger till något spionprogram, så kommer du se detta när du kör database mot datorn nästa gång du gör en säkerhetskontroll.

Men hålla på att kolla datorn med Tripwire databas känns jobbigt, utan tänkt mig en lösning där det inte finns något som helst oro.

Då kom jag på den enkla lösningen att installera Linux på ett SD minne med USB sticka.
SD minnet har en knapp för "read only" och då kan man inte lägga till några spionprogram eller modifiera någonting.
Linux systemet är immun mot allt förutom att någon kan lägga till något i ram minnet, men det töms när du stänger av eller startar om datorn.

Väldigt praktiskt om man använder sin laptop på offentliga platser.

Bara sätta SD minnet i vanligt läge när man ska uppdatera systemet och när man laddar ned program eller filer som inte kommer från distrons server så kan man kontrollera genom MD5 checksum. Betrodda nätverk som knappast hackas eller innehåller spionprogram eller annan skit.

Man kan ju köra en vanlig burk hemma på samma sätt. Behöver inte vara en laptop.
Det finns färdiga distros såsom Tails bland andra som redan är skräddarsydda för "read only" och köras från USB sticka eller "read only cd" ...

Experiment lusten är på topp

Skrivet av s0sdaf:

Värt att notera är att SD-kortet i sig inte innehåller någon controller, utan den sitter väl som jag förstår i kortläsaren. P.g.a. detta är inte read-only-brytaren inte nödvändigtvis någon säkerhet i sig då det enda den gör är att skicka en instruktion till kortläsaren att den inte får ändra på innehållet, något som kortläsaren själv kan välja att följa eller ignorera. Beroende på hur tillverkaren av kortläsaren ser på detta så är det alltså inte säkert att det fungerar som du tror. I vissa fall kan även denna funktionalitet ändras genom att man kontrollerar firmware för kortläsaren via datorn.

Läs mer om detta på https://en.wikipedia.org/wiki/Secure_Digital#Write-protect_no...

Det är med andra ord lite samma problem som med webcams, där indikatorlampan som tänds när kameran är aktiv i vissa fall (tyvärr allt för ofta) går att stänga av genom firmware, beroende på hur den är tillverkad.

Annars bör du kunna uppnå likvärdig säkerhet genom att montera delar av filsystemet som read-only vid boot, och en del som RAMDisk, även på en hårddisk/SSD. När du ska ändra något bootar du om och monterar tillfälligt som read/write.

Precis!
Man kan vid boot (t.ex. grub) välja att montera ett Linux (-eller Unix) -filsystem som "ro" (Read-Only).
Därmed är det immunt mot ev. förändringar. Alla förändringar kastas vid en omstart.
Du kan också lägga till ett start-up entry i grub som tillåter dig att göra ändringar ex. uppdatringar när du väljer det boot alternativet, som i nedan forumpost:

https://unix.stackexchange.com/questions/282682/ubuntu-16-04-with-read-only-filesystem-and-writable-layer

För ovan behövs inget speciellt media utan det skall fungera på vilken hårddisk eller lagringsmedia som helst.
Hårddisk/SSD är dock att föredra p.g.a. snabbare uppstart än ett USB 2.0 minne/SD-kort.
USB3-minnen kan däremot fungera bra p.g.a. snabb läshastighet.

Då Unix/Linux system i regel ger en mindre "footprint" och lever mer i RAM-minnet än ex. Windows, kan man komma undan relativt smärtfritt även med ett ro filsystem.
Du lär ändå kunna utföra vissa uppdateringar av OS, installera program osv. som inte kräver en omstart av systemet (då en omstart skulle radera alla ändringar efter filsystemet monterades som read only)
Förändringarna kommer dock enbart leva i din session i ramminnet och inte kunna skrivas till disken.
Ungefär som en LiveCD/DVD/USB skulle fungera, med fördelen att du kan uppdatera samt göra ändringar i systemet vid behov.

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Maj 2005

Förlåt min okunskap i frågeställningen men jag ser inte riktigt problemet din lösning är menad att lösa?

Linux har ganska mycket strängare rättigheter per default.

Du kräver Root rättigheter för att modifiera alla filer som inte är i ~/
Att vara administratör i linux är en väsentlig skillnad mot i windows då du alltid behöver ange lösenord för att kalla sudo privilegier per default, till skillnad från windows där en administratör kan göra lite som dem vill utan att behöva autentisera sig vid annat än inloggning.

Är det saker som dirty cow du är ute att skydda dig mot?

Det första du bör göra är att kryptera ditt filsystem, annars kan varenda lirare bara stjäla din disk och läsa data, använda sig av chroot för att sätta root passwd eller bara kalla single init=/bin/bash i kernel line i GRUB för att boota in i emergency mode, mounta systemdisk till rw och sedan använda passwd.

Konfigurera din brandvägg, linux har iptables, men ufw/gufw kan användas för att göra konfiguration enklare.
Se till att ditt system är väl patchat.

Detta kommer skydda dig mot nästintill allt. För den sista biten är du en måltavla för en organisation med stora ekonomiska resurser.

Är du riktigt seriös kan du confa SElinux.

Att sitta med RO FS ser jag ingen riktig användning av då det inte borde vara några problem att bara flicka den lilla knappen på ditt minne om dem får fysisk access.
Kan dom enkelt få access till din burk remote så har du antingen kassa brandväggsregler eller så är det en legit exploit. Att sedan använda en annan legit exploit för att få root access för att senare installera spyware/stjäla dina semesterbilder kommer inte hända. Semsterbilderna kan dem stjäla i vilket fall då du kan läsa all data ur ett RO system.
Du kastar inte sådana här exploits utan signifikant ekonomisk vinning, det hade varit bättre att sälja av dem till någon som betalar än att hacka privatpersoner. Har du en hög statlig position som faktiskt kan göra dig till en måltavla så överlämna det till experter.

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

Ska läsa hela tråden men vill bara säga hur jag gjorde.

Jag installera Ubuntu Mate LTS på ett SD minne med USB attrapp, men min laptop känner inte igen USB attrapp med SD minne.
Så jag tog fram mitt Kingston USB med read only knapp och installera Ubuntu Mate LTS och det fungera utmärkt.
Min laptop hitta USB Kingston från start och jag starta datorn med USB stickan i read only läge.

Så här konfa jag min distro

/500 boot
/4000 swap
/7000 root

Vet inte hur /temp och /var katalog körs men tror dom körs med RAM-minnet som allting annat.
Notera att jag inte kört live variant utan installerat distron på USB stickan precis som man installerar på en hårddisk.

Fundera på att plocka bort hårddisken på min laptop och endast ha USB stickan och vill jag spara något så behöver jag bara plugga in ytterligare USB minne.

Notera att jag skulle vilja ha denna lösning med Surfplatta, Stationär och min Laptop.

Hur skulle vardagen se ut, Surfa och leka och fixa och trixa utan att någon som helt oro.
Man behöver ägna noll tid åt säkerhet.

Sedan uppdaterar man systemen emellanåt och dom flesta speglar är beprövade och betrodda med trovärdighet.
Så under den korta tiden behöver man inte oroa sig för ett intrång.
Sedan emellanåt lägga till program från betrodda sidor och använda sig av checksum med oerhört hög trovärdighet.

Ett helt hem med Linux apparater Utan någon större kunskap om säkerhet.
Samt slippa kolla sina system med Tripwire för se om det sket något intrång.

MVH

Trädvy Permalänk
Medlem
Registrerad
Jan 2015
Skrivet av s0sdaf:

Värt att notera är att SD-kortet i sig inte innehåller någon controller, utan den sitter väl som jag förstår i kortläsaren. P.g.a. detta är inte read-only-brytaren inte nödvändigtvis någon säkerhet i sig då det enda den gör är att skicka en instruktion till kortläsaren att den inte får ändra på innehållet, något som kortläsaren själv kan välja att följa eller ignorera. Beroende på hur tillverkaren av kortläsaren ser på detta så är det alltså inte säkert att det fungerar som du tror. I vissa fall kan även denna funktionalitet ändras genom att man kontrollerar firmware för kortläsaren via datorn.

Läs mer om detta på https://en.wikipedia.org/wiki/Secure_Digital#Write-protect_no...

Det är med andra ord lite samma problem som med webcams, där indikatorlampan som tänds när kameran är aktiv i vissa fall (tyvärr allt för ofta) går att stänga av genom firmware, beroende på hur den är tillverkad.

Annars bör du kunna uppnå likvärdig säkerhet genom att montera delar av filsystemet som read-only vid boot, och en del som RAMDisk, även på en hårddisk/SSD. När du ska ändra något bootar du om och monterar tillfälligt som read/write.

Read only knappen sitter på SD minnet och inte på någon controller ...

Trädvy Permalänk
Medlem
Registrerad
Mar 2010
Skrivet av pompado:

Read only knappen sitter på SD minnet och inte på någon controller ...

Ja just det, och det är just därför det inte kan skydda sig självt. Eftersom controllern bestämmer vad som får/inte får göras med minnet. Läs på länken som jag skrev så kommer du förstå.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Tacka vet jag gamla goda floppys - där strömbrytaren för skrivskyddet bokstavligen bröt skrivslingan till läshuvudet - där fans det ingen chans alls att hacka någon firmware och kunna skriva fast det var skrivskyddat.

SD-minnen har visst en kontroller i sig med interface-hantering, minnesmanagement, wearlevling etc., men den råder inte över skrivskyddet, det är bara en plastflärp på kapslingen som styr en brytare/optosensor till läsar-kontrollen och sedan är det upp till firmwaren i denna vad som händer med det - är firmwaren omskrivningsbar (flash-minne) så kan den givetvis ändras att ignorera brytare i fråga.

mini och micro-SD har ingen plastflärp som kan instruera läsaren att den skall vara read only.

Det enda som är read only på riktigt i modernare lagringsmedia är CD/DVD-rom, BD-rom och CD/DVD+/-R-skivor samt BD-R

Trädvy Permalänk
Forumledare
Registrerad
Okt 2002
Skrivet av s0sdaf:

Ja just det, och det är just därför det inte kan skydda sig självt. Eftersom controllern bestämmer vad som får/inte får göras med minnet. Läs på länken som jag skrev så kommer du förstå.

Som en anekdot så utnyttjas detta till ens fördel om man kör CHDK — alternativ programvara till kameror från Canon. Man kan göra ett SD-kort bootbart för att ladda CHDK genom att haka in sig på den mekanism som tillåter firmware-uppdateringar, men kameran ser till att inaktivera bootbarheten vid första användning. Ifall man dock skrivskyddar kortet så misslyckas kameran med att nolla bootsektorn, vilket gör att kortet är fortsatt bootbart. Samtidigt råkar det vara så att kamerorna ignorerar inställningen för skrivskydd när de skriver bilder till SD-kortet, så det är ingen förlust i funktion.

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012
Skrivet av xxargs:

Det enda som är read only på riktigt i modernare lagringsmedia är CD/DVD-rom, BD-rom och CD/DVD+/-R-skivor samt BD-R

Så ett USB minne med skrivskydd är inte heller säkert?

Trädvy Permalänk
Medlem
Registrerad
Mar 2010
Skrivet av Rick69:

Så ett USB minne med skrivskydd är inte heller säkert?

Det är väl säkrare, men ingen garanti för att det skyddar förrän du analyserat hur minnet och dess skrivskyddsfunktion är konstruerad. Så antagligen olika från USB-pinne till USB-pinne.

@phz & @xxargs: Tackar för intressant läsning

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012
Trädvy Permalänk
Avstängd
Registrerad
Nov 2012

Finns en malware som kallas BadUSB
http://www.makeuseof.com/tag/your-usb-devices-are-not-safe-th...

Men Kanguru ska skydda mot det också:
”Kanguru Defender Elite 30 är skyddat mot BadUSB på samma nivå som Kangurus övriga krypterade USB-minnen.”
https://www.dustinhome.se/product/5010798354/defender-elite30

Trädvy Permalänk
Medlem
Registrerad
Jan 2015
Skrivet av Rick69:

@Rick69 tack för informationen ... tänker köpa en sådan efter jag hittat en surfplatta som kan köra Ubuntu utan massa trixande.
Gillar den sista varianten med lösenord, den ser grym ut och känns mer rejäl, men skyddar den också mot malware som BAD/USB

MVH

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012
Skrivet av pompado:

Gillar den sista varianten med lösenord, den ser grym ut och känns mer rejäl, men skyddar den också mot malware som BAD/USB

Ja den har låst firmware.
https://istorage-uk.com/badusb/