Chaospott Wiki (Alt)

Altes wiki. Hilf doch beim Migrieren mit! https://wiki.chaospott.de

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Chaospott Wiki » Projekte » pam_panic
projekte:pam_panic:start

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung 		Vorhergehende Überarbeitung
projekte:pam_panic:start [07.07.2019 00:38]
Bandie angelegt 		projekte:pam_panic:start [06.08.2019 21:08] (aktuell)
Bandie
Zeile 1: Zeile 1:
-Not done yet.+====== pam_panic ======
  
-pam_panic ist ein Softwareprojekt, welches unter mindestens zwei verschiedene Linux-Distributionen getestet wurde.+pam_panic ist ein Softwareprojekt, welches unter mindestens zwei verschiedene Linux-Distributionen getestet wurde. Es wurde auf dem [[https://media.ccc.de/v/35c3chaoswest-26-pampanic-a-linux-authentication-module-for-people-in-distress|35C3]] präsentiert.
  
 ===== Idee ===== ===== Idee =====
  
-Das Ziel ist, Daten in einer verschlüsselten LUKS-Partition zu zerstören, sobald man ein bestimmtes Passwort am bereits kryptogaphisch geöffneten System eingibt; wie zum Beispiel beim Login-Screen oder Screensaver. +Das Ziel ist, Daten in einer verschlüsselten LUKS-Partition zu zerstören, sobald man ein bestimmtes Passwort oder ein bestimmten USB-Stick am bereits kryptogaphisch geöffneten System eingibt; wie zum Beispiel bei einem Login-Screen oder Screensaver.
  
 +Es soll im Falle einer Bedrohung helfen, mögliche wichtige Daten, wie Zugangsschlüssel oder Passwörter zu vernichten. (Oder halt ein ganzes System, wenn wir gerade dabei sind.)
 ===== Rechtliche Voraussetzung ===== ===== Rechtliche Voraussetzung =====
  
Zeile 16: Zeile 16:
  
 Ein Linux, welches eine Partition enthält, die mit LUKS verschlüsselt wurde. Ubuntu-Systeme bieten dies beim Installieren an. Ein Linux, welches eine Partition enthält, die mit LUKS verschlüsselt wurde. Ubuntu-Systeme bieten dies beim Installieren an.
 +
 +Wenn man eines der folgenden Systeme benutzt, existiert dafür ein fertiges Paket, was man sich installieren kann:
 +
 +  * [[https://aur.archlinux.org/packages/pam_panic|Arch Linux (AUR)]]
 +  * [[https://launchpad.net/~bandie/+archive/ubuntu/pampanic|Ubuntu (Launchpad)]]
 +
 +===== Bau des Paketes =====
 +
 +Falls dein Betriebssystem nicht dabei ist und es dennoch ausprobieren/verwenden möchtest, muss es für das Betriebssystem gebaut werden.
 +Wenn du ein altes Ubuntu Xenial benutzt, siehe dir [[https://github.com/pampanic/pam_panic/wiki/Building-from-source-with-Ubuntu-Xenial-(if-you-really-want-it)|das hier]] an.
 +
 +Allgemein gesprochen gibt es folgende Abhängigkeiten:
 +
 +  * git
 +  * automake
 +  * autoconf
 +  * make
 +  * m4
 +  * fakeroot
 +  * which
 +  * gcc
 +  * groff
 +  * gettext
 +  * gawk
 +  * pam (developer, auch libpam0g-dev)
 +  * cryptsetup
 +  * dialog
 +
 +Wer schon mal Dinge gebaut hat, für denen ist diese Liste kaum eine Überraschung. 
 +"dialog" wird für das Konfigurationsmenü gebraucht.
 +
 +Mit einem
 +<code bash>
 +git clone https://git.chaospott.de/Bandie/pam_panic
 +</code>
 +holen wir uns das Projekt.
 +
 +Anschließend gehen wir mit ''cd pam_panic'' in das Projekt rein und führen dieses in der Reihenfolge aus:
 +
 +<code bash>
 +autoreconf -i
 +./configure
 +make
 +sudo make install
 +</code>
 +
 +===== Konfiguration =====
 +
 +In der Kommandozeile führt man ''sudo pam_panic_config'' auf.
 +Dieses Menü erstellt eine gültige pam_panic-Konfiguration.
 +Dabei stellt es dich vor die Wahl, ob du ein Passwort oder ein USB-Stick einrichten möchtest. Die USB-Sticks müssen GPT-formatiert sein.
 +
 +Anschließend muss pam_panic noch in das gegebene System durch includes in anderen Dateien der /etc/pam.d erfolgen. Man beachte dabei die Hinweise des Konfigurationsprogramms.
 +
 +Ein Beispiel für xscreensaver:
 +
 +<code>
 +#%PAM-1.0
 +
 +auth       include      pampanic
 +account    include      pampanic
 +
 +auth       include      system-auth
 +account    include      system-auth
 +</code>
 +
 +Nachdem man dieses hinzugefügt hat, ist pam_panic sofort aktiv.
 +In der obigen Beispiel-Konfiguration bedeutet das, dass xscreensaver zu erst nach dem pam_panic USB-Gerät oder Passwort fragen wird, bevor es das normale Benutzerpasswort verlangt.
 +
 +
 +
 +===== Tipp: Zusätzliche Sicherheit durch Memory-Poisoning =====
 +
 +Man kann den Kernel anweisen bei einem Herunterfahren bzw. Neustart den Speicher mit random-Daten zu überschreiben.
 +Dazu fügt man in ''/etc/default/grub'' dem Parameter ''GRUB_CMDLINE_LINUX'' folgendes an:
 +<code>
 +GRUB_CMDLINE_LINUX="[...] page_poison=on slub_debug=P"
 +</code>
 +
 +Anschließend sollte die Config von GRUB neu erzeugt werden: 
 +<code bash>
 +sudo grub-mkconfig -o /boot/grub/grub.cfg
 +</code>
 +
projekte/pam_panic/start.1562452709.txt.gz · Zuletzt geändert: 07.07.2019 00:38 von Bandie

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution 4.0 International
CC Attribution 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki