Kompromittierende temp-Verzeichnnisse auf Linux-Systemen.

Dieses Thema im Forum "SuSE / OpenSuSE" wurde erstellt von 6b616e, 18.08.2009.

  1. 6b616e

    6b616e Pirat

    Dabei seit:
    05.11.2006
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    /dev/random
    Hallo,

    ich nutze einen openSUSE-Fileserver mit einem luks+dmcrypt-verschlüsseltem RAID-5. Die Systemplatte ist allerdings unverschlüsselt. Dies ist nötig, da ich sonst keine Möglichkeit habe, das Passwort remote einzugeben und somit immer eine Tastatur und ein Bildschirm am Server hängen müsste.

    Swap habe ich deaktiviert, /tmp und /var/tmp auf einer ramdisk gemounted.

    Dazu habe ich zwei Fragen:
    1. Reicht das aus oder gibt es noch weitere Verzeichnisse, die eventuell entschlüsselte Daten enthalten können, die für einen Known-Plaintext-Angriff genutzt werden könnten?
    2. Werden NFS-Transfers eigentlich irgendwo auf Platte gepuffert?

    Danke für die Antworten,
    6b616e
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 saeckereier, 18.08.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Man kann die Passworteingabe per initrd und ssh realisieren. Das habe ich hier eine Zeitlang benutzt. Ich weiss nur nicht mehr auf welcher Kiste das läuft, sonst könnte ich nachschauen. Dazu findet man aber genug Infos im Netz.

    Um deine Frage zu beantworten wäre die Ausgabe vonl mount recht interessant. Aus deiner Formulierung wird nämlich nicht ersichtlich, was jetzt verschlüsselt ist und was nicht.
     
  4. #3 6b616e, 18.08.2009
    Zuletzt bearbeitet: 18.08.2009
    6b616e

    6b616e Pirat

    Dabei seit:
    05.11.2006
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    /dev/random
    Also mount beim Fileserver sagt folgendes:
    Code:
    /dev/sda2 on / type ext3 (rw,acl,user_xattr)
    /proc on /proc type proc (rw)
    sysfs on /sys type sysfs (rw)
    debugfs on /sys/kernel/debug type debugfs (rw)
    udev on /dev type tmpfs (rw)
    devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
    /dev/sda1 on /boot type ext3 (rw,acl,user_xattr)
    /dev/sda3 on /home type ext3 (rw,acl,user_xattr)
    fusectl on /sys/fs/fuse/connections type fusectl (rw)
    securityfs on /sys/kernel/security type securityfs (rw)
    none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
    rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
    /dev/mapper/raid5 on /media/raid5 type ext3 (rw)
    nfsd on /proc/fs/nfsd type nfsd (rw)
    gvfs-fuse-daemon on /root/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev)
    Der Desktop-PC sagt:
    Code:
    /dev/sda1 on / type ext3 (rw,acl,user_xattr)
    /proc on /proc type proc (rw)
    sysfs on /sys type sysfs (rw)
    debugfs on /sys/kernel/debug type debugfs (rw)
    udev on /dev type tmpfs (rw)
    devpts on /dev/pts type devpts (rw,mode=0620,gid=5)
    /dev/sda2 on /home type ext3 (rw)
    none on /tmp type tmpfs (rw,size=33%)
    none on /var/tmp type tmpfs (rw,size=25%)
    none on /home/_6b616e/Desktop/JDownloader/tmp type tmpfs (rw,size=10%)
    fusectl on /sys/fs/fuse/connections type fusectl (rw)
    none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
    gvfs-fuse-daemon on /home/_6b616e/.gvfs type fuse.gvfs-fuse-daemon (rw,nosuid,nodev,user=_6b616e)
    192.168.1.3:/media/raid5 on /media/raid5 type nfs (rw,addr=192.168.1.3,nfsvers=3,proto=tcp,mountproto=udp)
    /dev/loop0 on /media/cdrom type iso9660 (ro,loop=/dev/loop0)
    
    Danke für die Hilfe.

    EDIT: Achja, die ramdisks auf dem fileserver sind noch nicht gemounted. Hatte noch kein Bock, ihn neuzustarten :P
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Und noch ne Frage am Rande:
    Wo genau ist der Cache von mplayer?
     
  5. #4 saeckereier, 19.08.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Also auf deinem Server sind weder home noch / noch irgendwas verschlüsselt ausser /media/raid5. Das ist sicherlich nicht ausreichend. Mindestens /home sollte dazu.
     
  6. 6b616e

    6b616e Pirat

    Dabei seit:
    05.11.2006
    Beiträge:
    46
    Zustimmungen:
    0
    Ort:
    /dev/random
    Richtig, aber im Moment laufen auch keine Dienste außer der NFS-Freigabe. Für anderes wird der Server gar nicht genutzt. Ich denke mal, /home/ wird gerade gar nicht verwendet.

    Also an temp-Verzeichnissen war's das dann, oder?
     
Thema:

Kompromittierende temp-Verzeichnnisse auf Linux-Systemen.