ComputerBase Menü
Aktuelles

ausgewählte HDDs deaktivieren in Mint

H

highks

Gast
Ich habe mir vor einiger Zeit Mint 15 als Zweitsystem auf den Rechner geholt, und zwar komplett getrennt vom Windows-Part des Rechners. Ich habe eine SSD und eine HDD extern per eSATA dran, auf denen Mint läuft (also von SSD, die HDD als Datenplatte, beides ext4 per LVM)

Das funktioniert so auch sehr gut, beim Booten treffe ich die Startauswahl über das Bios-Bootmenü, das ist alles kein Problem.

Da ich das Linux System aber (in der Art von c't Surfix) gerne als sicheres Surfsystem hätte, würde ich gerne den Zugriff auf die beiden internen Platten des Rechners (1 SSD, 1 HDD, beide NTFS) komplett unterbinden.
Bisher ist es zwar so, dass die NTFS Platten nicht automatisch gemountet werden, aber mit einem einfachen Klick auf die Platten mounten sie sofort und man hat dann auch vollen Zugriff.

Ich habe schon mal versucht, den NTFS Treiber von Linux zu deinstallieren (habe in Synaptic den NTFS-G3 mit allen Abhängigkeiten entfernt), aber aus irgend einem Grund hatte ich trotzdem noch Zugriff auf die NTFS Platten, sie ließen sich immer noch mounten. Wahrscheinlich läuft da noch eine ältere NTFS Unterstützung im Kernel, die ich nicht gefunden habe.

Jetzt würde ich eben gerne den Zugriff auf diese Platten komplett unterbinden, und zwar nicht über das BIOS, das ist mir zu umständlich da jedes Mal rumzuwursteln.
Die Platten sollen im Bios weiterhin normal aktiviert werden, für Linux aber überhaupt nicht vorhanden sein, sodass man sie auf keine Art und Weise mounten kann. Es würde im Prinzip auch reichen, die NTFS Unterstützung komplett zu deaktivieren - das habe ich ja schon versucht, hat aber leider wie gesagt nicht so einfach funktioniert, wie ich mir das dachte.
 
Ich bin mir gerade nicht sicher, ob und wie man einzelne Laufwerke schon beim Booten deaktiveren kann. Eine Alternative ist das hier (per udev):
http://serverfault.com/questions/112147/tell-ubuntu-to-ignore-dead-hard-drive-during-booting

Alternativ kannst du die Laufwerke nach dem Booten (manuell oder per Skript automatisch nach dem Booten) auch aus dem System abmelden. Allerdings bekommt man die auch wieder ins System:
Code: 
echo 1 > /sys/block/sdX/device/delete
Wobei du sdX durch die Laufwerkskennung deiner Platten ersetzt (wahrscheinlich sda und sdb).

Solange die Laufwerke aber im Recher stecken und angeschlossen sind, sind sie auch nicht sicher gegen Manipulationen. Selbst wenn das Linux das Dateisystem nicht lesen kann, könnte ein Schädling die Platten einfach mit Müll vollschreiben und deine Daten sind weg.
 
Theoretisch, ja... Praktisch reden wir hier von einem hypothetischen Virus, dass sich selbst Root-Rechte verschafft. Die Anzahl selbiger ist nicht relevant, "in the wild" existieren gleich gar keine. Das sind alles eher Laborversuche.
Das ist ja einer der feinen Züge von Linux: Du wirst fast gezwungen, als "User" zu arbeiten und darfst höherwertige Tätigkeiten immer schön mit nem PW absegnen. Das schützt zwar nicht vor extremer Heimtücke (manipulierte Repositories), aber vor allem, womit man Windows so leicht ausknocken kann.
 
Nun ja - also so wie es im Moment aussieht, brauche ich keine root Rechte, um die Laufwerke zu mounten. Ein Doppelklick auf das Laufwerkssymbol reicht, und schon wird ohne weitere Nachfrage das Laufwerk gemountet.

Irgendwie bekommt es c't surfix und c't bankix ja auch hin, dass grundsätzlich überhaupt keine HDDs gemountet werden können in diesen Systemen. Die basieren auch auf Ubuntu - also es geht. Die Frage ist nur, kann ich das auch, oder müsste ich dafür tief im Kernel rumschrauben (was ich mir nicht wirklich zutraue)
Ergänzung ()

KillerCow schrieb:
Alternativ kannst du die Laufwerke nach dem Booten (manuell oder per Skript automatisch nach dem Booten) auch aus dem System abmelden. Allerdings bekommt man die auch wieder ins System:
Code: 
echo 1 > /sys/block/sdX/device/delete
Zum Vergrößern anklicken....

Sind sie damit nur nicht gemountet? Weil das passiert schon automatisch beim Start: die NTFS Laufwerke sind nicht gemountet. So weit so gut. Allerdings kann man die Laufwerke sehr einfach mit einem Doppelklick mounten, was ich gerne verhindern würde.

In Windows kann ich ja z.B. ein Laufwerk im Gerätemanager deaktivieren. Das ist wahrscheinlich auch nicht bombensicher, aber zumindest kann man dann das Laufwerk nicht mehr mit einem einfachen Klick wieder mounten, es ist dann auch nicht mehr in der Datenträgerverwaltung etc.
Ergänzung ()

Daaron schrieb:
Du wirst fast gezwungen, als "User" zu arbeiten und darfst höherwertige Tätigkeiten immer schön mit nem PW absegnen. Das schützt zwar nicht vor extremer Heimtücke (manipulierte Repositories), aber vor allem, womit man Windows so leicht ausknocken kann.
Zum Vergrößern anklicken....

Ich habe auch schon seit den Zeiten von Windows XP niemals mehr als Admin in Windows gearbeitet, sondern als normaler User ohne Installationsrechte. Das hilft auch in Windows ziemlich viel, nur leider ist es dem normalen User anscheinend nicht zuzumuten...
 
Zuletzt bearbeitet von einem Moderator:
Also das man das Ding nicht nachträglich als root einbinden kann, das wirst du nicht verhindern können. Da nützt auch ein entfernen der ntfs Treiber nichts, den wenn ein Angreifer root Zugriff bekommt, kann er diese ja nachinstallieren

Die möglichkeit das einbinden durch einen User kannst du über fstab machen.
Erst mal musst du die UUID der Partitionen bei denen du das mounten verhindern willst rausfinden

Code: 
blkid

Danach editierst du die Datei "/etc/fstab"

Dort dann den Eintrag für die entsprecheden Partitionen hinzufügen

Code: 
UUID="xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxx"   none   ntfs   uid=1000,umask=0000   0   0

Dann wird er das System an keiner Stelle einhängen, den root als besitzer(uid; 1000 müsste auch bei Mint die default id für den root sein) und er setzt für alle Nutzer die Rechte so das sie nicht lesen, schreiben und ausführen können.
 
Mit "echo 1 > /sys/block/sdX/device/delete" wird das jeweilige Laufwerk beim Massenspeichercontroller abgemeldet und ist damit im System nicht mehr verfügbar. Mit einem rescan bekommt man die Laufwerke dann aber (fast) immer wieder ins System. Anschließend lassen sie sich mounten. Dürfte so ähnlich sein, wie bei Windows das Deaktivieren.

Wenn die c't das bei ihren Livesystemen so eingerichtet hat, dann schreib die Jungs doch einfach mal an und frag nach, wie du das nachbauen kannst (per Mail oder bei denen im Forum). Ich bezweifel, dass die den Kernel dafür extra patchen. Die werden das sicherlich per udev Regeln realisieren.
 
Mir ist, als hätte in der letztens c´t zu Bankix (oder wie deren Live-CD für Online-Banking heißt) gestanden das die den Kernel gepatcht haben.
 
...das schreiben sie auch so auf der Seite zu bankix:

Selbst wenn ein Angreifer über eine bislang unbekannte Schwachstelle eindringt, bietet c't Bankix ihm keine Gelegenheit, sich dauerhaft auf dem PC einzunisten, da die internen Festplatten Ihres Rechners durch einen speziellen Patch des Linux-Kernels unerreichbar und das Bootmedium von c't Bankix schreibgeschützt sind.
Zum Vergrößern anklicken....
http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

Aber der Tipp von Killercow würde mir schon mal reichen, glaube ich. Muss ich noch ausprobieren, ob ich das so machen kann, danke!
 
Da haben die Jungs und Mädels von der c't sich doch Mühe gemacht, nicht schlecht und gut zu wissen :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Linux Mint: Schreibcache für externe USB Laufwerke deaktivieren
Antworten
13
Aufrufe
772
Sensei21
Sensei21
X
0RPM Modus deaktivieren Linux
Antworten
10
Aufrufe
1.401
mad999
mad999
SiStM
Bios Update fTPM deaktivieren?
Antworten
3
Aufrufe
2.902
SiStM
SiStM
D
GPU im Bios deaktivieren
2
Antworten
27
Aufrufe
18.320
Motorrad
Motorrad
L
hyperthreading deaktivieren, aber wo und wie?
Antworten
11
Aufrufe
11.096
GTI84
GTI84

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz