Spesielt om fellesmaskiner

Forfatter: Trond Hasle Amundsen
Kontakt: t.h.amundsen@usit.uio.no
Dato: 2011-10-06

1   Definisjon

Det skilles mellom fellesmaskiner og personlige maskiner. Fellesmaskiner er maskiner som er tilgjengelige for alle, hvorav endel kan være mer klåfingret enn vi liker. Eksempel på fellesmaskiner er termstue- og pcstue-maskiner for studenter. Personlige maskiner er maskiner der den lokale IT-ansvarlige har tiltrodd eieren privilegier som f.eks. root-passordet. Det er helt klart fellesmaskiner som gir sikkerheten størst utfordring.

En fellesmaskin kan kort defineres som en maskin der det er lagt opp til at mange brukere har adgang, enten logisk ved mulighet for vanlig innlogging og/eller fysisk adgang til maskinen. Man bør passe særlig godt på maskiner hvor "vanlige" studenter har adgang.

2   Regler

Følgende regler er viktige for sikkerheten på fellesmaskiner:

  1. Maskinen skal ikke kunne boote fra diskett, CDROM, USB-penn e.l.

    I så tilfelle kan hvem som helst bli root, ved enten å boote sitt eget lille OS eller ved å omgå andre sikkerhetstiltak som settes under boot.

  2. Maskinen skal ha satt BIOS-passord, slik at ikke hvem som helst kan få maskinen til å boote fra annet enn harddisk. Se over.

  3. Maskinen skal ha passord satt i bootloader /etc/grub.conf. Dette gjøres for å ta fra vanlige brukere muligheten til å starte GRUB i interaktiv modues og spesifisere boot-parametre til Linux-kjernen, og på denne måten skaffe seg root-aksess.

    Dette gjøres ved å legge inn følgende linje i /etc/grub.conf:

    password --md5 PASSWORD
    

    Passordet skal være MD5-kryptert, og kan f.eks. generes ved å kjøre kommandoen md5crypt i GRUB. Se dokumentasjonen til GRUB for mer informasjon. (Kjør kommandoen info grub og velg "Security").

  4. Maskinen skal ikke være dual-boot, slik at man ikke kan bruke DOS-programmer til å unngå restriksjoner satt i BIOS og bootloader.

    Det kan gis unntak fra denne regelen dersom IT-ansvarlig er helt sikker på at dette ikke er mulig fra Windows, dvs. at nødvendige restriksjoner er satt i Windows for å forhindre dette.

Det er den lokale IT-ansvarlige som avgjør hvilke disker en gitt maskin skal kunne montere, og det er viktig at særlig fellesmaskiner sikres skikkelig før man eksporterer disker til dem.

Publisert 5. okt. 2011 21:49 - Sist endret 6. okt. 2011 15:02