System soll sich nach 3 falschen Logins selbst zerstören
Guten Tag liebe Community,
wir haben folgendes Szenario: Das System bootet von einem USB Stick. Beim Login erscheint nicht der Anmeldebildschirm vom lokalem Systen, sondern der von einem Terminalserver. Der User meldet sich also nicht direkt am System des USB Sticks an.
Nun möchte ich, dass wenn ein pfiffiger Mitarbeiter unseres Unternehmens versucht via ssh (oder irgendwie lokal) auf den Stick einzuloggen, sich das System selbst zerstört oder (noch besser) den kompletten Stick leert.
Also was ich gerne umsetzen würde wäre: Wenn 3x ein falscher Login getätigt wurde führe ein:
rm -rf /
aus.
Kennt jemand einen praktikablen Weg wie man sowas realisieren kann?
Mir ist natürlich bewusst, dass dies auch ein löschen durch unsere Admins verursachen kann, sofern diese sich falsch anmelden.
Ich wäre wirklich sehr dankbar für einen Tip.
Lieben Gruß
Flexmind
wir haben folgendes Szenario: Das System bootet von einem USB Stick. Beim Login erscheint nicht der Anmeldebildschirm vom lokalem Systen, sondern der von einem Terminalserver. Der User meldet sich also nicht direkt am System des USB Sticks an.
Nun möchte ich, dass wenn ein pfiffiger Mitarbeiter unseres Unternehmens versucht via ssh (oder irgendwie lokal) auf den Stick einzuloggen, sich das System selbst zerstört oder (noch besser) den kompletten Stick leert.
Also was ich gerne umsetzen würde wäre: Wenn 3x ein falscher Login getätigt wurde führe ein:
rm -rf /
aus.
Kennt jemand einen praktikablen Weg wie man sowas realisieren kann?
Mir ist natürlich bewusst, dass dies auch ein löschen durch unsere Admins verursachen kann, sofern diese sich falsch anmelden.
Ich wäre wirklich sehr dankbar für einen Tip.
Lieben Gruß
Flexmind
Please also mark the comments that contributed to the solution of the article
Content-Key: 240393
Url: https://administrator.de/contentid/240393
Printed on: April 23, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hi Flexmind,
das klingt mir sehr nach einem billigen Actionthriller a`la Hitchcock.
Das Du Dich extra wegen dieser Sache beim Administrator Forum anmeldest, lässt das Ganze auch nicht gerade seriöser erscheinen.
Gruß orcape
das klingt mir sehr nach einem billigen Actionthriller a`la Hitchcock.
Das Du Dich extra wegen dieser Sache beim Administrator Forum anmeldest, lässt das Ganze auch nicht gerade seriöser erscheinen.
Mir ist natürlich bewusst, dass dies auch ein löschen durch unsere Admins verursachen kann, sofern diese sich falsch anmelden.
Dann solltest Du darüber zumindest die Administratoren informieren, bevor Du das in die Tat umsetzt...Gruß orcape
Du schreibst selbst, dass es ThinClient sind bzw. seien werden. Auf einem Thinclient liegen keine Daten, die es wert sind, zerstört (oder geschützt) zu werden. Oder hast du Angst, dass die IP-Adresse des Terminalservers bekannt wird.
Sollte irgendeine Art von VPN-Client mit enthalten sein, gibts hier ganz andere Methoden, die weitaus sicherer sind, Benutzername und Passwort sind so ein erster Anfang, Smartcards, CryptoSticks, OTP-Lösungen, biometrische Abfragen. Stumpf eine VPN-Verbindung hochziehen und dann auf die Selbstzerstörung hoffen ist idiotisch.
Wenn ich deinen unverschlüsselten USB-Stick auslesen will, gibts nen ganz einfachen Trick. Ich starte ein anderes Linuxsystem und mounte deinen Stick einfach, damit werden sämtliche Benutzer- und Gruppenbeschränkungen hinfällig. Desweiteren bringt ein Löschen der Daten nichts, da wird nur die FAT gelöscht. Jedes Wiederherstellungsprogramm kann die Daten zurückholen. Mindestens eine Runde Datenmüll muss über den kompletten Stick geschrieben werden.
Wenn du schon mit RasPis als Thinclients arbeitest, scheint die Umgebung eher klein zu sein (kleiner 150 Mitarbeiter), da sollte man eher für grundlegende Sicherheitsmaßnahmen sorgen, genaueres kannst du dem IT-Grundschutz entnehmen. Kein physischer Zugriff auf die Systeme, ungenutzte Anschlüsse abschalten, Einsatz von Wechselmedien verbieten oder stark einschränken.
Aber um die nicht ganz in die Pfanne zu hauen, mit fail2ban wird man sowas sicher regeln können.
Sollte irgendeine Art von VPN-Client mit enthalten sein, gibts hier ganz andere Methoden, die weitaus sicherer sind, Benutzername und Passwort sind so ein erster Anfang, Smartcards, CryptoSticks, OTP-Lösungen, biometrische Abfragen. Stumpf eine VPN-Verbindung hochziehen und dann auf die Selbstzerstörung hoffen ist idiotisch.
Wenn ich deinen unverschlüsselten USB-Stick auslesen will, gibts nen ganz einfachen Trick. Ich starte ein anderes Linuxsystem und mounte deinen Stick einfach, damit werden sämtliche Benutzer- und Gruppenbeschränkungen hinfällig. Desweiteren bringt ein Löschen der Daten nichts, da wird nur die FAT gelöscht. Jedes Wiederherstellungsprogramm kann die Daten zurückholen. Mindestens eine Runde Datenmüll muss über den kompletten Stick geschrieben werden.
Wenn du schon mit RasPis als Thinclients arbeitest, scheint die Umgebung eher klein zu sein (kleiner 150 Mitarbeiter), da sollte man eher für grundlegende Sicherheitsmaßnahmen sorgen, genaueres kannst du dem IT-Grundschutz entnehmen. Kein physischer Zugriff auf die Systeme, ungenutzte Anschlüsse abschalten, Einsatz von Wechselmedien verbieten oder stark einschränken.
Aber um die nicht ganz in die Pfanne zu hauen, mit fail2ban wird man sowas sicher regeln können.
Hallo,
- Fail2ban für so und so viele misslungene Anmeldeversuche.
- Und kein Löschscript!!!
Stell Dir mal vor jemand weiß von dem Löschbefehl und nun
knackt er Dein USB Stick OS und danach braucht er sich nur
3 mal falsch anmelden und alle logfiles sind weg und somit auch
die Beweise zum "Einbruch"!
Mach es den Leuten schwer, aber hilf Ihnen nicht noch.
Gruß
Dobby
P.S. Man kann das OS je nach denk um welches es sich handelt ja
auch in einem "Jail" laufen lassen und dann hat der pfiffige Mitarbeiter
nur root Gewalt innerhalb des "Jails"!
Danke! An fail2ban dachte ich in diesem Zusammenhang noch nicht.
Aber dies könnte tatsächlich ein gangbarer Weg sein.
- SSH nur über hinterlegte Schlüssel und den hat eben kein Mitarbeiter.Aber dies könnte tatsächlich ein gangbarer Weg sein.
- Fail2ban für so und so viele misslungene Anmeldeversuche.
- Und kein Löschscript!!!
kann man fail2ban den Löschbefehl auslösen lassen.
Urgh, das mit dem Löschbefehl würde ich nicht umsetzen wollenStell Dir mal vor jemand weiß von dem Löschbefehl und nun
knackt er Dein USB Stick OS und danach braucht er sich nur
3 mal falsch anmelden und alle logfiles sind weg und somit auch
die Beweise zum "Einbruch"!
Mach es den Leuten schwer, aber hilf Ihnen nicht noch.
Gruß
Dobby
P.S. Man kann das OS je nach denk um welches es sich handelt ja
auch in einem "Jail" laufen lassen und dann hat der pfiffige Mitarbeiter
nur root Gewalt innerhalb des "Jails"!
Wenn du eh nur ne RDP verwenden willst - dann nimm doch gleich nen Linux-OS. Hier kannst du bereits vom OS aus das Grundsystem verschlüsseln - und ob du nun den XServer oder Win als Basis für ne RDP-Session nimmst is dann auch egal.
Wenn du dann noch auf das Löschen bestehst kannst du ggf. hier mal schauen ob du z.B. die RDP-Config-File einfach löschen kannst. Dann ist deine Verbindung weg - aber alle Logs sind noch vorhanden. Auch wenn dir das nicht wirklich was bringen wird - wenn ich den Stick klaue und der sich nur zerlegt dann hast du den immernoch nicht wieder. Allerdings könntest du so im notfall dem remote-Mitarbeiter die RDP-Config noch mal zusenden o.ä.
Wenn du dann noch auf das Löschen bestehst kannst du ggf. hier mal schauen ob du z.B. die RDP-Config-File einfach löschen kannst. Dann ist deine Verbindung weg - aber alle Logs sind noch vorhanden. Auch wenn dir das nicht wirklich was bringen wird - wenn ich den Stick klaue und der sich nur zerlegt dann hast du den immernoch nicht wieder. Allerdings könntest du so im notfall dem remote-Mitarbeiter die RDP-Config noch mal zusenden o.ä.
Zitat von @flexmind:
> Zitat von @tikayevent:
>
> Oder hast du Angst, dass die IP-Adresse des Terminalservers bekannt wird.
Ja
> Zitat von @tikayevent:
>
> Oder hast du Angst, dass die IP-Adresse des Terminalservers bekannt wird.
Ja
Sorry ab die kannst du nicht verbergen und schon überhaupt nicht mit so einer Maßnahme. Z.b. den stick einfach in einer VM booten lassen und am PC mit z.b wireshark mitschneiden wohin eine Verbindung aufgebaut wird. Und schon hast du deine IP