24.06.2018, 05:28 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

1

14.02.2013, 22:32

interne Festplatte verstecken/sperren oder das "nofstab-Problem"

Servus Linux-Freunde,

ich habe mein mittlerweile etwas betagtes Netbook mit einem Knoppix USB-Stick 'reaktiviert'. Ich bin ganz begeistert, dass Knoppix 7.0.5 vom billigen USB-Stick sogar etwas schneller startet, als Ubuntu 12 von der internen Platte ... aber kurze Rede, langes Ding:

Ich möchte den Zugriff auf die interne Platte komplett vermeiden - dazu wollte ich etc/fstab entsprechend modifizieren, aber das hilft nicht, da Knoppix bei jedem Start die fstab neu schreibt.
Booten mit dem Parameter nofstab führt dazu, dass selbst dann etc/fstab neu geschrieben wird, jedoch praktisch leer. Der PC Man zeigt in dieser Version erstaunlicher Weise dennoch die Symbole für die ganzen Partitionen auf der Platte an.

Egal was ich versuche - die von mir modifizierte fstab-Datei kann ich nicht erhalten. Ich habe nun schon einige Zeit mit der Suche im Netz verbracht, aber keine saubere Lösung gefunden. Kann mir hier jemand helfen?

Grüße vom sehr interessierten Knoppix-Neuling ;)

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

2

15.02.2013, 00:45

Der PCMan holt sich die Partitionierung direkt von der Platte.
Erst wenn du auf eine Partition drauf klickst versucht er sie mit Hilfe der fstab zu mounten.
Ist kein Eintrag für die Partition in der fstab vorhanden, dann wird die Partition temporär eingehängt.
Einen Zugriff auf die Platte kannst du m.M. nach nur vermeiden, wenn du sie ausbaust oder spannungsfrei machst.
Das ist bei den 2.5" Platten aber nicht möglich, da die Spannungsversorgung über den IDE-Stecker erfolgt.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

3

15.02.2013, 15:55

Na, die Platte abzuklemmen ist jetzt auch nicht so das Szenario was mir vorschwebte. Wär irgendwie 'ein bisschen' lästig jedes Mal den Rechner aufzuschrauben und die Platte nach Bedarf an- oder abzuklemmen.

Beim Ubuntu Derivat Bankix wurde es auch geschafft, dass der Zugriff auf etwaige andere Laufwerke nicht zur Verfügung steht. Ich schließe daraus, dass es also grundsätzlich durchaus möglich sein sollte.

Zu dem macht es doch auch in anderer Hinsicht Sinn, dass vorgenommene Modifikationen in der fstab-Datei dauerhaft erhalten bleiben. Es fällt mir schwer darauf zu vertrauen, dass dies bei Knoppix tatsächlich unmöglich sein soll.
Gibt es dafür denn eine plausible Erklärung?

klaus2008

Meister

Beiträge: 2 687

Geschlecht: Männlich

4

16.02.2013, 08:40

Hallo!

Man könnte versuchen, einen neuen Linux-Kernel zu erzeugen, der ohne die Unterstützung für SATA- und IDE-Festplatten kompiliert wird. Wenn man allerdings die Unterstützung für diese Controller vollständig entfernen würde, wäre es wohl unmöglich, das System noch als Live-CD zu verwenden. Man müsste die Konfigurationsmöglichkeiten des Kernels bezüglich des Festplattentzugriffs genau untersuchen.

Zitat

Zu dem macht es doch auch in anderer Hinsicht Sinn, dass vorgenommene Modifikationen in der fstab-Datei dauerhaft erhalten bleiben.
Knoppix ist als System gedacht, das ohne Probleme an wechselnden Computern funktionieren soll. Deshalb ist eine fstab für einen speziellen Rechner sicherlich nur in Spezialfällen interessant. Du könntest vermutlich das Skript rebuildfstab so verändern, dass nur USB-Geräte, Kartenleser und optische Laufwerke erlaubt sind.

Gruss
Klaus

5

16.02.2013, 10:22

Danke Euch, Ralf und Klaus,
ich denke in Anbetracht des für mich damit zu erwartenden Aufwandes, wird die Angelegenheit von meinem Wunschzettel gestrichen. Der Stick soll tatsächlich, als flexiblere Alternative zu Bankix, ausschießlich dem Online-Banking dienen, um diese Dinge vom 'normalen Altagssystem' halbwegs sicher abzukoppeln.
Im Deaktivieren nicht benötigter Laufwerke hätte ich ein extra Sicherheitsplus gesehen. Aber der Aufwand scheint mir gemessen an meinen Erfahrungen und Fähigkeiten was Linux anbetrifft ein gutes Stück zu hoch. Da mache ich mal wieder die übliche Grätsche zwischen Sicherheit und Komfort. ;)
Gruß
Ben

PS: Der Vollständigkeit halber trage ich noch nach, dass ich hier auch noch was zum Thema gefunden habe (http://www.knoppixforum.de/knoppix-forum-deutsch/konfigurations-und-datensicherung/thread4665/festplattenzugriff-sperren.html) und die cheatcodes ausprobiert habe, wobei 'forensic' bei mir dazu führte, dass KNOPPIX gar nicht mehr startete, 'secure' alleine führt nur zur Passwortabfrage wenn man z. B. beim PCman einen Ordner als root öffnen möchte, aber sonst halt nix - ich kann alle Laufwerke sehen und auch darauf schreiben (als User). :thumbdown:

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »novicius« (16.02.2013, 11:53)


RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

6

16.02.2013, 14:54

Zitat

und die cheatcodes ausprobiert habe, wobei 'forensic' bei mir dazu führte, dass KNOPPIX gar nicht mehr startete, 'secure' alleine führt nur zur Passwortabfrage wenn man z. B. beim PCman einen Ordner als root öffnen möchte, aber sonst halt nix - ich kann alle Laufwerke sehen und auch darauf schreiben (als User). :thumbdown:

Du weißt aber schon, wofür die cheatcodes sind ?

Quellcode

1
2
knoppix forensic                    Don't use swap and mount read-only
knoppix secure                      Disable root access

KNOPPIX ist eine LiveCD, welche u.A. zur Untersuchung von anderen Rechnern dient.
Da wäre ein benutzen des SWAPs hinderlich, da sich dort noch Passwörter oder Bilder befinden könnten, welche du bei einer forensischen Untersuchung nicht zerstören willst.
Der secure ist dafür gedacht, dass du nochmal extra gefragt wirst, ob du wirklich auf die Platte zugreifen willst.

Zitat

ich kann alle Laufwerke sehen und auch darauf schreiben (als User).
Sobald du das root-Kennwort eingegeben hast, erfolgt der Zugriif, da der root (also der Gott des Systems) es erlaubt hat.
Hätte er was dagegen, dann hätte er das Kennwort nicht eingegeben.

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

7

16.02.2013, 17:15

Zitat

Du weißt aber schon, wofür die cheatcodes sind ?
Sagen wir mal 'ja', denn es steht ja in o. g. Thread (in dem es im Übrigen um exakt mein 'Problem' geht) und war mir daher bekannt. Allerdings war die Erläuterung dazu, wg. der Passwörter im Swap etc., eine interessante zusätzliche Info.

Zitat

Sobald du das root-Kennwort eingegeben hast, …
Schon klar – hatte ich auch nicht – ich hatte die Passworteingabe abgebrochen und konnte, vollkommen unabhängig davon, als User 'knoppix' auf der Platte schreiben. Wollte damit nur sagen, dass ich durch diesen Test verstanden habe, dass 'secure' auf die 'Befugnisse' des Users keine direkte Auswirkung hat. Erst wenn ich von der Rolle des Users in die Rolle des roots wechseln will. Aber ich sehe nicht, dass das (alleine) in meinem meinem Fall eine Rolle spielt – nur diese Bootoption bringt mich also nicht weiter.

Zitat

Hätte er was dagegen, dann hätte er das Kennwort nicht eingegeben.
?( Öh … also wenn an diesem Rechner einer Passwörter eingibt, dann bin ich das … 8) … so sollte es jedenfalls im Regelfall sein. Aber nicht das wir vom eigentlichen Thema abkommen – ich wollte mit dem PS nur informieren, dass ich auch die im o. g. Thread gemachten Vorschläge ausprobiert habe und damit nicht weitergekommen bin. Welche Rolle Mr. root auf einem Linux-System spielt habe ich schon vor längerer Zeit verstanden - jedenfalls wäre ich vollkommen desillusioniert wenn nicht. ;)

8

21.02.2013, 20:27

RE: interne Festplatte verstecken/sperren oder das "nofstab-Problem"

interne Festplatte .. sperren


Eine Lösung habe ich auch nicht (KNOPPIX ist ja der HW - Erkennungs - King :thumbsup: ), aber zumindest eine Idee in diese Richtung (eventuell)?

z.B.: mit

Quellcode

1
  hdparm -S1 /dev/sda 
die idletimeout auf 1 (5 Sekunden) setzen (probier auch mal 0 - laut Anleitung idletimeout off - so die Theorie - in der Praxis war es idletimeout 0 Sekunden)
1 uralt Laptop und 1 I7-920@4GHz 6GB RAM mit KNOPPIX 7 / :D

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »sentinel1« (21.02.2013, 20:33)


FM_81

Fortgeschrittener

9

22.02.2013, 19:18

Wenn KNOPPIX schon gebootet hat, und man "root" ist, und man weiß, dass die zu versteckende Platte /dev/sda heisst, sollte vielleicht ein beherztes

Quellcode

1
rm -f /dev/sda*
helfen? Zumindest so lange dort noch nichts eingebunden war.

Der geneigte User könnte so was natürlich auch in diversen Startup-Scripten versenken ...

MfG, FM_81
ACHTUNG!
Ihre Systemleistung reicht nicht aus, um einen BLUE-SCREEN zu erzeugen!
Möchten Sie statt dessen einen GREEN-SCREEN sehen?

---- [Ja] ---- [Nein] ---- [Weiß noch nicht] ----

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

10

23.02.2013, 14:49

und was verhindert den

Quellcode

1
2
mknod /dev/sda  b 8 0
mknod /dev/sda1  b 8 1
?
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

FM_81

Fortgeschrittener

11

23.02.2013, 15:32

und was verhindert den

Quellcode

1
2
mknod /dev/sda  b 8 0
mknod /dev/sda1  b 8 1
?
Na, niemand verhindert das!
Aber die Frage war ja "Wie unterbinde ich den Zugriff?" und nicht "Wie stelle ich ihn wieder her, wenn die Gerätedateien entfernt wurden?" ...

MfG, FM_81
ACHTUNG!
Ihre Systemleistung reicht nicht aus, um einen BLUE-SCREEN zu erzeugen!
Möchten Sie statt dessen einen GREEN-SCREEN sehen?

---- [Ja] ---- [Nein] ---- [Weiß noch nicht] ----

12

25.02.2013, 02:13

Hallo Knoppixuser,
ich habe auch mal "etwas" rumprobiert und bin gespannt auf eure Meinung.
Mein Vorschlag wäre, die folgenden Zeilen in einen Texteditor zu kopieren
und dann unter dem Namen knoppix.sh im Ordner KNOPPIX/ zu speichern:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# knoppix.sh
# verhindert die Anzeige aller internen Hd-Partitionen im Lxde-Pcmanfm (getestet mit Knoppix 7.0.4)

npt=`fdisk -l | grep '^.dev.sd' | egrep -i -v 'swap|extended' | wc -l`
# Anzahl der Partitionen ausser swap/extended
for i in `seq 1 15`; do if [ $npt -gt `ls /media/ | grep 'sd..$' | wc -l` ]; then sleep 2; fi; done 
# warten, bis alle Mountpoints in /media/ (bzw. fstab !!) erstellt sind, max. 30 Sek. 

# fstab bearbeiten:
sed -i -e "/^.dev.sd/s/media/hd-privat/" /etc/fstab
# Mountverzeichnis der Hd-Partitionen ändern in /hd-privat/ anstelle /media/
# Pcmanfm zeigt keine Partitionen mit Mountpoint ausserhalb /media/ 

sed -i -e "/^.dev.sd/s/users/nouser/" /etc/fstab
# nur root darf die Partitionen jetzt noch mounten
# mount /dev/sdxy immer noch möglich, wenn Mountpoint existiert,
# hoffentlich nicht möglich bei Boot mit "knoppix secure"


Zumindest wären kritische Partitionen dann vor blutigen Anfängern sicher.

Nachtrag:
Leider hatte sich in der ersten Version des Scripts ein Fehler eingeschlichen.
In Zeile 6 muss natürlich stehen $npt -gt statt $npt -lt. Sorry.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »l8night« (25.02.2013, 12:38)


13

25.02.2013, 07:43

Zitat

Zumindest wären kritische Partitionen dann vor blutigen Anfängern sicher.
Knoppix ist ein Live System und, wie ich neulich schon zitiert habe, für
  • Anwender, die sich Linux und die aktuell unter GNU/Linux verfügbare Software (incl. Office-Suiten) zunächst einmal ohne Installation ansehen wollen,
  • regelmäßige Linux-User, die ein portables System suchen - ohne die Anschaffung eines teuren Notebooks - für unterwegs (Vorträge, Schulungen, Arbeiten auf fremden Rechnern, auf denen kein Linux installiert ist),
  • Systemadministratoren, die häufig ein umfangreiches Rettungssystem und Security-Tools für ihre Arbeit benötigen.
Also nix für blutige Anfänger und nicht gedacht für HD-Installation an Stelle einer üblichen Linux-Distribution wie etwa Debian oder Xubuntu.
Gruß Werner * Eigene Rescue-CD
remaster Grml * remaster Knoppix

RalfonLinux

Erleuchteter

Beiträge: 2 931

Geschlecht: Männlich

14

25.02.2013, 18:30

@Werner
und wenn du nun noch openSuSE aufgezählt hättest, würdest du sogar einen :thumbsup: bekommen :D

Ralf
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop