Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- projekte:pam_panic:start [07.07.2019 00:39]
Bandie
+++ projekte:pam_panic:start [07.07.2019 23:16]
Bandie [Idee]
@@ Zeile 1: / Zeile 1: @@
 ====== pam_panic ======
-Not done yet.
 pam_panic ist ein Softwareprojekt, welches unter mindestens zwei verschiedene Linux-Distributionen getestet wurde.
@@ Zeile 8: / Zeile 5: @@
 ===== Idee =====
-Das Ziel ist, Daten in einer verschlüsselten LUKS-Partition zu zerstören, sobald man ein bestimmtes Passwort am bereits kryptogaphisch geöffneten System eingibt; wie zum Beispiel beim Login-Screen oder Screensaver.
+Das Ziel ist, Daten in einer verschlüsselten LUKS-Partition zu zerstören, sobald man ein bestimmtes Passwort oder ein bestimmten USB-Stick am bereits kryptogaphisch geöffneten System eingibt; wie zum Beispiel bei einem Login-Screen oder Screensaver.
+Es soll im Falle einer Bedrohung helfen, mögliche wichtige Daten, wie Zugangsschlüssel oder Passwörter zu vernichten. (Oder halt ein ganzes System, wenn wir gerade dabei sind.)
 ===== Rechtliche Voraussetzung =====
@@ Zeile 19: / Zeile 16: @@
 Ein Linux, welches eine Partition enthält, die mit LUKS verschlüsselt wurde. Ubuntu-Systeme bieten dies beim Installieren an.
+Wenn man eines der folgenden Systeme benutzt, existiert dafür ein fertiges Paket, was man sich installieren kann:
+  * [[https://aur.archlinux.org/packages/pam_panic|Arch Linux (AUR)]]
+  * [[https://launchpad.net/~bandie/+archive/ubuntu/pampanic|Ubuntu (Launchpad)]]
+===== Bau des Paketes =====
+Falls dein Betriebssystem nicht dabei ist und es dennoch ausprobieren/verwenden möchtest, muss es für das Betriebssystem gebaut werden.
+Wenn du ein altes Ubuntu Xenial benutzt, siehe dir [[https://github.com/pampanic/pam_panic/wiki/Building-from-source-with-Ubuntu-Xenial-(if-you-really-want-it)|das hier]] an.
+Allgemein gesprochen gibt es folgende Abhängigkeiten:
+  * git
+  * automake
+  * autoconf
+  * make
+  * m4
+  * fakeroot
+  * which
+  * gcc
+  * groff
+  * gettext
+  * gawk
+  * pam (developer, auch libpam0g-dev)
+  * cryptsetup
+  * dialog
+Wer schon mal Dinge gebaut hat, für denen ist diese Liste kaum eine Überraschung.
+"dialog" wird für das Konfigurationsmenü gebraucht.
+Mit einem
+<code bash>
+git clone https://git.chaospott.de/Bandie/pam_panic
+</code>
+holen wir uns das Projekt.
+Anschließend gehen wir mit ''cd pam_panic'' in das Projekt rein und führen dieses in der Reihenfolge aus:
+<code bash>
+autoreconf -i
+./configure
+make
+sudo make install
+</code>
+===== Konfiguration =====
+In der Kommandozeile führt man ''sudo pam_panic_config'' auf.
+Dieses Menü erstellt eine gültige pam_panic-Konfiguration.
+Dabei stellt es dich vor die Wahl, ob du ein Passwort oder ein USB-Stick einrichten möchtest. Die USB-Sticks müssen GPT-formatiert sein.
+Anschließend muss pam_panic noch in das gegebene System durch includes in anderen Dateien der /etc/pam.d erfolgen. Man beachte dabei die Hinweise des Konfigurationsprogramms.
+Ein Beispiel für xscreensaver:
+<code>
+#%PAM-1.0
+auth       include      pampanic
+account    include      pampanic
+auth       include      system-auth
+account    include      system-auth
+</code>
+Nachdem man dieses hinzugefügt hat, ist pam_panic sofort aktiv.
+In der obigen Beispiel-Konfiguration bedeutet das, dass xscreensaver zu erst nach dem pam_panic USB-Gerät oder Passwort fragen wird, bevor es das normale Benutzerpasswort verlangt.
+===== Tipp: Zusätzliche Sicherheit durch Memory-Poisoning =====
+Man kann den Kernel anweisen bei einem Herunterfahren bzw. Neustart den Speicher mit random-Daten zu überschreiben.
+Dazu fügt man in ''/etc/default/grub'' dem Parameter ''GRUB_CMDLINE_LINUX'' folgendes an:
+<code>
+GRUB_CMDLINE_LINUX="[...] page_poison=on slub_debug=P"
+</code>
+Anschließend sollte die Config von GRUB neu erzeugt werden:
+<code bash>
+sudo grub-mkconfig -o /boot/grub/grub.cfg
+</code>

Chaospott Wiki (Alt)

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge