Schlagwort: IT-Sicherheit

Arch Linux: Bootvorgang mittels TPM2 & TOTP messen und Vertrauenswürdigkeit überprüfen (Measured-Boot)

Leider ist das Konzept von Verified-/Trusted-Boot unter Linux, im Gegensatz zu z.B. Android, Chromium OS, MacOS und Windows, immer noch nicht wirklich präsent (siehe bspw. The Strange State of Authenticated Boot and Disk Encryption on Generic Linux Distributions). Während sich Secure-Boot auch im Linux-Umfeld einigermaßen etabliert hat, tut sich im Bereich Measured-Boot noch nicht allzu viel. Eine Möglichkeit den gemessenen Bootvorgang manuell auf Vertrauenswürdigkeit hin zu überprüfen, ist die Verwendung von tpm2-totp. Wie genau das funktioniert, erläutere ich in folgendem Beitrag.

Weiterlesen

Arch Linux: Installation mit LVM, LUKS, AppArmor, systemd-boot und UEFI Secure Boot mit eigenen Keys

Vor Kurzem habe ich mein Notebook erfolgreich von Xubuntu auf Arch Linux umgestellt. Wie bei meiner bisherigen Xubuntu-Installation sollte Arch Linux natürlich mit Festplatten-Vollverschlüsselung (mittels LVM on LUKS) sowie aktiviertem AppArmor installiert werden. Außerdem wollte ich als zusätzliche Sicherheitsebene, Arch Linux mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Secure Boot Keys einrichten. In diesem Zusammenhang sollte zudem systemd-boot anstatt GRUB als Bootloader zum Einsatz kommen. Wie ich das Ganze umgesetzt habe, könnt ihr in diesem Beitrag lesen.

Weiterlesen

Virtual Machine Manager & QEMU/KVM: VMs ohne Root-Rechte ausführen

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten.

Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen. Im folgenden Beitrag erfahrt ihr, wie ihr eure VMs mit VMM über qemu:///session und somit ohne Root-Rechte ausführt.

Weiterlesen

OpenWrt 21.02: WPA3 mit WPA2-Fallback verwenden

Vor einigen Tagen habe ich auf meinem LTE-Router die neue Version 21.02 von OpenWrt installiert. Mit dieser Version wird der Verschlüsselungsstandard WPA3 "out of the box" unterstützt. Dieses habe ich zum Anlass genommen, für mein WLAN-Netzwerk die Verschlüsselung von WPA2 auf WPA3 umzustellen. Da ich derzeit noch diverse Geräte besitze, die WPA3 nicht unterstützen, habe ich den sogenannten WPA3-Transmission/Mixed-Modus eingestellt. Dadurch können zumindestens alle meine Geräte, die bereits WPA3 unterstützen, dies auch verwenden und die nur WPA2 unterstützenden Geräte können weiterhin WPA2 verwenden.

Weiterlesen

Android: Dateisystem per SSHFS einbinden

Mit SSHFS gibt es eine einfache und sichere Möglichkeit, das Dateisystem eines entfernten Geräts per SSH ins eigene Dateisystem einzubinden. Auf dem entfernten Gerät bedarf es dafür einen SSH-Server mit SFTP-Funktion.

Auf diese Weise lässt sich bspw. auch das Dateisystem eines Android-Smartphones in das Dateisystem des eigenen Rechners einbinden. Die Dateien des Android-Geräts können dann komfortabel per Dateibrowser verwaltet werden.

Analog zum letzten Beitrag bzgl. Android mit SSH-Server verbinden verwende ich hierfür auch dieses mal wieder die Open-Source-App Termux.

Weiterlesen