# sicurezza locale

## lordalbert

Ciao. Stamattina stavo pensando che chiunque può accedere ad una macchina come root se ne ha accesso fisico.

Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..

E' possibile disattivare questa "opzione"? 

Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio?

----------

## randomaze

 *lordalbert wrote:*   

> Intendo, al boot è sufficiente avviare il sistema in "single mode", basta aggiungere un parametro..
> 
> E' possibile disattivare questa "opzione"? 

 

Metti la password sul bootloader

 *Quote:*   

> Poi ci sarebbe anche il discorso del chroot da cd live, ma credo che a questo non ci siano molte soluzioni... sbaglio?

 

Disattivi nel BIOS l'avvio da CD/USB e metti la password sul BIOS.

Restano i casi in cui l'utente può cambiare le cose da windows (soluzione: disinstalli windows) oppure smonta la macchina, stacca l'HD e lo rimonta come slave su un'altro PC (e qui potresti divertirti collegando 15 kilovolt al case... attenzione: se tieni il PC sotto la scrivania potrebbero sorgere controindicazioni!!!)

----------

## djinnZ

in lilo la raccomandazione è definire password e mandatory globali non per immagine, secondo le ultime disposizioni del garante alla privacy (e da sempre per buonsenso, al massimo c'è da chiedersi perchè gentoo non lo preveda di default nel lilo.conf.example) tutti i pc devono avere una password che impedisca l'accesso al bios (che poi sia stata interpretata come tutti i pc devono avere la password di accensione impostata è dovuto alla faciloneria di certa stampa specializzata) ed in particolare all'uso dei device rimovibili come boot od in alternativa il computer deve essere posto sotto chiave (e da questo l'interpretazione folle che vuole le consolle chiuse negli armadi...)

scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".

per grub parli chi lo usa perchè io non lo apprezzo ma si deve poter fare lo stesso.

----------

## Kernel78

Di soluzioni ce ne sono ma nessuna sicura al 100% ...

Puoi impostare una password nel bios per evitare che venga fatto il boot da cd, puoi impostare una password in grub per evitare che vengano aggiunti o modificati parametri.

Questo ti consente di essere abbastanza sicuro, ovviamente se uno ha fisicamente accesso al pc lo apre, prende il disco e se lo monta su un altro sistema o cracka la password del bios, per ovviare a questo potresti cifrare tutto con treucrypt o simili.

----------

## djinnZ

 *randomaze wrote:*   

> potresti divertirti collegando 15 kilovolt al case

 

a quanto pare abbiamo un altro estimatore del riciclo in antifurto dei vecchi "neon".... o sei per metodo bobina da moto?

non ho resistito  :Laughing: 

----------

## lordalbert

 *djinnZ wrote:*   

> 
> 
> scherzi a parte il metodo è mettere una password all'uso di linee di comando del kernel "personalizzate".
> 
> 

 

mmm cioè? non ho ben capito...

Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...

EDIT: ah, intendi una password per impedire che vengano modificate le opzioni di boot? (forse ora ho capito  :Very Happy:  )Last edited by lordalbert on Wed Oct 03, 2007 4:10 pm; edited 1 time in total

----------

## Kernel78

 *lordalbert wrote:*   

> Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla...

 

Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ?

----------

## djinnZ

molti bios prevedono una password che impadisce all'utonto di cambiare le impostazioni e scegliere il device di boot ed una diversa per la sola accensione. Questi sono in regola, per tutti gli altri basta disabilitare il boot dalle altre unità e dire al bios che la password va chiesta solo per l'amministrazion e ma non per l'avvio (tutti sono così).

risolto questo, sempre per lilo:

l'uso normale è impostare prima delle singole sezioni di boot

```
password=tuapassword
```

 (ovviamente lilo.conf è leggibile solo a root e tua password è la tua password in chiaro)

e di seguito mandatory

poi se hai qualche immagine che vuoi sia protetta da diversa password o che venga chiesta sempre e comunque prima del 

```
read-only
```

 ci piazzi l'istruzione password= o restricted, secondo i casi

----------

## lordalbert

 *Kernel78 wrote:*   

>  *lordalbert wrote:*   Cmq, in caso di computer accessibili al pubblico, con un account per ogni utente, è impensabile mettere una password al bios. Anche se si mettesse, andrebbe divulgata, e non avrebbe alcun senso mantenerla... 
> 
> Perchè mai andrebbe divulgata ? cosa cavolo avrebbero bisogno di modificare nel bios ?

 

Beh, ma per poter avviare la macchina serve la password, no? semplicemente per accedere al sistema

----------

## djinnZ

A meno che non è stato scritto con i piedi (cineserie di scarto) o sia roba di antiquariato come il mio vecchio pc (486DX2 25Mhz EISA o precedenti), il bios, anche i più vecchi, anche quelli con una sola password, da qualche parte hanno l'opzione che consente di scegliere se la password va chiesta al post/setup/both.

dimenticavo: l'accenno al fatto di bloccare il boot lo ho fatto perchè spesso in ambito lavorativo si interpreta male la questione della privacy (andatevi a cercare la circolare, più fumosa ed imprecisa non la si poteva senza trascedere nell'errore) e si blocca l'accesso, cosa non necessaria.

come al solito ho fatto confusione tra restricted e mandatory...

----------

## Kernel78

@lordalbert

djinnZ mi ha preceduto nel risponderti ...

----------

## gioi

Allora, la password del bios ci vuole 30 sec per cancellarla...

Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt...

Al limite, dipende dalla distro, se si ha accesso al dispositivo /dev/nvram in scrittura basta un bel

```

dd if=/dev/zero of=/dev/nvram bs=1 count=1000

```

e la password è bella che eliminata (insieme alle altre impostazioni quali l'ora, boot device ecc ecc sostituite da quelle di default).

In alternativa si può sostituire /dev/zero con un file esadecimale a piacere....

----------

## bandreabis

Basterebbe tenere il portatile sottobraccio quando non si usa.   :Very Happy: 

----------

## codadilupo

la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.

Esiste solo Chuck Norris. Augh!

Coda

----------

## djinnZ

 *gioi wrote:*   

> Basta aprire il case e staccare la batteria per almeno 10 sec (15 sec per aprire il case + 5 sec per trovare la batteria + 10 sec = 30 sec)... per cui la soluzione più valida direi che è quella che suggeriva qualcuno di mettere la 15kVolt...

 

per i 15kv ci sono due metodi: collegare i terminali di un "reattore"+starter (per questo dicevo normale lampada al neon) al case ed il primo che prova a toccarlo è fulminato, in alternativa si può sempre smontare una di quelle simpatiche lampade per fulminare gli insetti.

Il secondo metodo è andare in un negozio di ricambi e comprare una bobina da motorino da collegare alla 12V dell'alimentatore. La scossa è piccola ma dolorosa.

Non vado oltre nei dettagli perchè sono metodi criminali e se beccate un cardiopatico vi fate il vosto bel soggiorno al fresco per omicidio.

scherzi a parte: negli lm_sensor il segnale case intrusion corrisponde ad un simpatico apparecchietto che scatta quando viene aperto il pc e lo segnala al successivo riavvio. Questo per sapere che c'è stata la violazione.

Altrimenti loop crittografato (truecrypt è una buona soluzione multipiattaforma ed è in portage da una vita) e monitor sulle modifiche ai file di sistema.

Se vuoi un buon esempio di paranoia applicata cerca le specifiche RBAC del livello A1, che a quel che so è possibile solo con linux ma non è considerato valido perchè il software deve essere sviluppato in segretezza (con buona pace di kirchoff e shannon).

ci sono anche dei simpatici hd con esplosivo (a detonazione lenta, produce solo una forte vampata di calore che fonde il supporto magnetico) a protezione dei dati, non costano neanche molto.

----------

## cloc3

 *codadilupo wrote:*   

> la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
> 
> Esiste solo Chuck Norris. Augh!
> 
> Coda

 

 :Crying or Very sad: 

si, però ha un sito web in flash che fa cagare.

----------

## nick_spacca

 *codadilupo wrote:*   

> la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
> 
> Esiste solo Chuck Norris. Augh!
> 
> Coda

 

Sei un mito!!!   :Laughing:   :Laughing:   :Laughing: 

 *cloc3 wrote:*   

>  
> 
> si, però ha un sito web in flash che fa cagare.

 

quello è il finto originale..molto meglio questo

(scusate l'OT enorme ma non ho saputo resistere   :Embarassed:  )

----------

## federico

Bisognerebbe inquadrare che tipo di sicurezza cerchi e per quale motivo. Se c'e' accesso fisico al computer non c'e' sicurezza vera che tenga. Noi nell'installazione di un internet point un tempo avevamo messo sotto chiave i computer. Okei, se sei un maestro del lockpicking per te questo non e' un problema, pero' in un posto pubblco tempo che apri il lucchetto, smonti il computer, estrai il disco, speriamo di accorgercene.

Fede

----------

## djinnZ

 *codadilupo wrote:*   

> la sicurezza non esiste. Il portatile non esiste. E nemmeno il cucchiaio.
> 
> Esiste solo Chuck Norris. Augh!
> 
> Coda

 La sicurezza esiste e nel suo coltellino svizzero ha McGyver! Il suo nome è... Steven Seagal.

Ed ora, finito di vomitare possiamo anche tirare la catena.  :Twisted Evil: 

Come sempre non ho resistito. Mi cospargo il capo di cenere e chiedo umilmente perdono, però ci ho provato, ed ho anche resistito quasi nove ore, me lo dovete riconoscere.

----------

