Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de.
Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert.
Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können.
Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang.
Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
USB Stick zügeln
Ich habe ein hochsicheres System (ohne Netzwerkanschluss).
Auf diesem werden Zertifikate generiert und signiert.
Diese werden dann auf einen USB-Stick exportiert.
Meine Frage ist jetzt:
Kann ich irgendwie dafür sorgen, dass schadhafter Code auf dem USB-Stick keinesfalls lesend auf die lokale Festplatte zugreifen darf?
Ginge das über Benutzerrecht? Nein, geht nicht oder? Weil ja der User, der bedient und vielleicht auf dem USB-Stick was anklickt, ja die hohen Rechte hat, die auch schreibend auf die Patte zugreifen dürfen, richtig?
Oder kann ich vielleicht den USB-Stick nur schreibend mounten? Ginge das?
Danke für die Hilfe ...
guru@linux:~> who I grep -i blonde I talk; cd ~;
wine; talk; touch; unzip; touch; strip; gasp; finger;
mount; fsck; more; yes; gasp; umount; make clean; sleep;
tierralinda.de
RE: USB Stick zügeln
den stick ohne execute mounten!
siehe man mount noexec.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »linuxerr« (05.09.2007, 16:34)
Je mehr ich drüber nachdenke gefällt mit eigentlich der Gedanke, nur schreibend auf den Wechseldatenträger zugreifen zu können, immer besser.
Wie würde ich das machen? Geht das über die Angabe der Maske in der fstab? Ich kenne "ro" für read-only. Gibts auch was für "write-only"?
Danke linuxer ..
und allen die drüber nachdenken...
guru@linux:~> who I grep -i blonde I talk; cd ~;
wine; talk; touch; unzip; touch; strip; gasp; finger;
mount; fsck; more; yes; gasp; umount; make clean; sleep;
tierralinda.de
wenn du den mountpoint dann mit 733 versiehst, kann der user in das verzeichnis schreiben und hineinwechseln, aber das directory nicht lesen. um eine datei aufzurufen muss er dann schon den dateinamen kennen.
davon mal abgesehen. wenn du den stick mit noexec mountest, kann der user auf dem stick keine ausführbaren dateien starten. er könnte sich maximal eine kopie in sein home ziehen und sie dort aber mit seinen rechten ausführen, wenn er denn ausführen darf und eine bash hat.
geht es dir um binarys mit suid-bit?
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
Es geht darum, dass eigentlich nur Zertifikate auf den Stick exportiert werden sollen und die Möglichkeit minimiert werden soll, dass schadhafter Code auf dem System eingeschleust wird (bewußt oder unbewußt).
Ich werde das mit den Write-Only machen. Wir haben angeraten bekommen, den höchsten Grad an Paranoidität einzubringen.
guru@linux:~> who I grep -i blonde I talk; cd ~;
wine; talk; touch; unzip; touch; strip; gasp; finger;
mount; fsck; more; yes; gasp; umount; make clean; sleep;
tierralinda.de
