"Leállított Linux" mennyire biztonságos router?

 ( jevgenyij | 2018. június 6., szerda - 20:16 )

Sok évvel ezelőtt volt egy cikk arról, hogy a power management nélkül leállított Linux rendszer továbbra is ellátja a routing feladatokat, mert az nem áll le addig amíg power gombbal le nem nyomjuk az áramot. Ugyanakkor nagyon biztonságos router ebben az állapotában a Linux, gyakorlatilag törhetetlen.
Épült azóta erre a "képességre" valamilyen router disztribúció, netán fizikai termék?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Arra a cikkre kíváncsi lennék.

Sok sok éve használok linuxot, és volt idő mikor igencsak gyerekcipőben járt a power management, viszont ha leállítottam a masinát, akkor az nagyon le volt állva :D

Fedora 27, Thinkpad x220

Á, az igazán szuper cuccok akkor is mentek tovább nullponti energiával, ha kihúztad a konnektorból! Sajnos azonban az Illuminatis elkaszálta ezeket a cuccokat, mert a chemtrail-ek is nullponti energiával mennek, és a routerek elszívták előlük!

Najó, azért nem kellenek itt a konteók, szó se volt illuminatusokról meg chemtrailről, egyszerűen csak az egyes bitek a kampóikkal beakadtak a kábelbe...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Gyikember!!!! Terelsz mi????

Pedig azok a kampók alapból arra szolgálnak, hogy a nullákat ráakasszák, és húzzák azokat is.
Sajnos big endian - little endian váltáskor a nullák hajlamosak kiakadni a kampókból, aminek nagy kavarodás a vége.

+1

Lehet hogy fura de épp ezért emlékszem én is hogy volt ilyen cikk régen.

Szerk. Csak megtaláltam :) http://www.drdobbs.com/halted-firewalls/199101324

Speciel én is emlékszem a cikkre, emlékeim szerint azt taglalták benne, hogy a csomagszűrő alrendszer vígan megyegetett tovább. Már akkor eléggé elképesztően hangzott, aztán feledésbe is merült. (Nekem amúgy valami olyasmi rémlik, hogy nem klasszikusan kikapcsolt állapot, hanem mondjuk egy single-user módba kapcsolt környezet - ami mint ilyen, lévén nem futtat semmilyen szerver szolgáltatást, kevesebb erőforrást igényel, és nem nagyon támadható - kivéve a célzottan a netfiltert támadó eszközökkel.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

OK, a kernelbeli csomagszűrő stimmel (jó, nem netfilter, hanem ipchains). Amúgy szuper, hogy vetted a fáradságot és kikotortad a majd 28 éves poros darabot.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Elárulnád, hogyan kaluláltad ki a 2002-ből a majd 28 évet?

megzavarta az URL végén az 1991..... Bár abban az évben már létezett Linux :)
--

Kerekitesi hiba :')
Amugy ricsipnek tok igaza van. Miutan atfutottam, es felismertem, hogy en is ezt a cikket olvastam anno, mar nem neztem vissza a datum kedveert.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

nekem általában igazam van :)
--

Y2k bug utóhatás 2002-ből :-)


Normális HUP-ot használok!

and the firewall would remain active but with no drives mounted and no processes running
Ezek szerint két eset lehetséges:
- A firewall nem process.
- Az "active" az áram fogyasztását jelenti és nem a működést.

Értem!

A runlevel 0 az a halt. Ha ennek ellenére fut valami, akkor meg nem 0. Azaz nem halt.
Ha nem halt, akkor meg él.

Világos!

Hát még mindig LOL.

When the machine is halted, the kernel still resides in memory, even when the machine runs through the shutdown process.

Pont azt írja is aztán/közben hogy NEM állít le bizonyos szolgáltatásokat... Tehát a rendszer NEM halted státuszban van. Elindult ugyan a halt processz, de csak a sallagot állította le :)

Meg mondjuk ezek után belépni sem fog rá többet, sőt újraindítani is csak local-hand segítségével lehetne majd ;)

--
zrubi.hu

Szerintem ez az állapot most is megvalósítható úgy, ha leállítod az összes proceszt és unmountolod az összes filerendszert a rootal együtt.
Valószínű a shutdown -h nem ezt fogja csinálni, de semmi akadálya, hogy írj egy ilyen programot. Az eredmény egy gyakorlatilag nem működő rendszer ami alatt fut a kernel és csinálja a tűzfalazást.
Kicsit lehet fokozni a helyzetet, ha a rendszer és a konfiguráció is pendrive-ról indul majd a végén azt ki is húzod. A hátrány az, hogy nem logol a tűzfal sehova. Ha logra is vágyunk akkor nem állhat le minden, de szerintem a memóriába betöltött távoli gépre logoló syslog akkor is megy tovább ha kiszedik alóla a filerendszert.

Szép fogás a cikk. A sok lehurrogás után itt a fricska. Azért ennek a gyakorlati alkalmazása elég problémás. Szerintem a cikk szépen leírt minden lényeges mozzanatot.
Az egyetlen ami ebből gyakorlatba ment szerintem az az, hogy nem telepítjük csak azokat a csomagokat amikre tényleg szükség van. Jellemzően a szükséges egyéb szolgáltatások ellehetetlenítik ennek a featnek az érdemi alkalmazását. Másik hasonló trükk volt a read-only fájlrendszer hw implementálása, de a frissítések amik manapság már heti/napi rendszerességűek elég macerássá teszik ezeket, ahol ennyire biztosak akarnak lenni, hogy ilyen kell ott szerintem airgap van. De ez az irániaknak sem jött be anno... a stuxnet után még volt egy vicces kis Thunderstruck epizód is.

Jo de hat ismerjuk az irani atomprogramot: https://youtu.be/OMDQzITWJyU

P.S. én ilyen kacifántos tűzfalmegoldást az állami megrendelőkre specializálódott cégek classified prospektusaiban keresnék. A wikileaks persze csak lehallgatási szoftverekre cuppant rá és hozta nyilvánosságra, de van ott más is, ahonnan azok jöttek. Pl atomerőművekhez gondolnék ilyesmit próbálni eladni.

:)

Túlmisztifikálod ezt a dolgod ;)

--
zrubi.hu

Sem megerősíteni sem cáfolni nem akarom lol ;)

javítsatok ki, de szerintem a cikk szerzője hülyeséget ír, mégpedit itt:

After a relatively short period of time, I concluded that for Red Hat Linux 6.2, removing the following scripts will allow this behavior to occur:

/etc/rc.d/rc0.d/S00killall
/etc/rc.d/rc0.d/K90network
/etc/rc.d/rc0.d/K92ipchains
Removing these three scripts keeps the network up, and keeps ipchains running. Note that removal of the killall script is necessary because its task is to recurse through the /etc/rc.d/rc0.d/ directory and run all scripts that start with a K. This script would run the K90 network and K92 ipchains scripts, which would kill the network and ipchains.

Alul azt írja, hogy az S00killall-t azért kellett törölni, mert az végigmegy az összes K-betűs scripten az rc0.d-ben és így lefuttatná a másik kettőt is.
Ezzel két nagy problémám van:
1. ha azt a másik kettőt már törölte a mappából, akkor ez miért lenne probléma? Ha nincs ott, nem fogja lefuttatni a killall.
2. ha a killall-t törli akkor tulajdonképpen semelyik szolgáltatást nem állítja le amikor kiadja a shutdown-t, vagyis tulajdonképpen ugyan azon a runlevel-en maradtunk ahonnét indultunk és fut minden process.

Érdekes felvetés. Nem ismerek ilyet, de érdemes lenne kipróbálni.

Szerintem is rég nem igaz ez már (ha egyáltalán valaha igaz volt).

Ha pl. egy ARM-os Pi-szerű cuccon nyomsz egy poweroff-ot, akkor a cpu bizony megáll, a képernyő lekapcsol, pingelni nem lehet többet a gépet. A benne levő hw ethernet switch, az valóban mehet tovább (hiszen annak bootoláskor is elég az áram, és már megy is), és switcheli a packeteket, de ennyi, routolni nem fog a készülékben semmi. Ha lenne benne olyan hw, ami a cpu-tól függetlenül tud routolni, akkor az mehetne elvileg tovább, de ilyet én még sosem láttam.

+1
Valószínű a routolás és switchelés közötti különbség sikkadt el az eredeti cikkben.

LOL

--
zrubi.hu

olyankor csak a vízfal megy!

Csak akkor, ha eléraksz egy megfelelően konfigurált WGA-t!

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Gondolom halt vs. poweroff lenne a téma, de eddig nem találtam sehol semmit arról, hogy halted system tudna route-olni továbbra is. Sőt soha nem is hallottam ilyenről.

Érdekes elgondolás, de nem hiszem, hogy van bármilyen valós alapja. Én ezt úgy tudom elképzelni, hogy a hálózati interfészek tartalmaznak valamilyen embedded routing firmware-t és ameddig áram alatt van a vas, addig ez a firmware valahol fut és minimális routing feladatokat ellát és/vagy az uefi csinál(hat) ilyet.
Mindenestre nem találtam erről semmit.


Vizsgára felkészülés végett keresek "kidobásra" szánt menedzselhető Cisco switch-eket és routereket, leginkább Pest és Bács-Kiskun megye területén.

"leállított Linux rendszer továbbra is ellátja a routing feladatokat"
Az én fogalmaim szerint a "leállított Linux" azt jelenti, hogy a kernel és a CPU leállt. Akkor ki a búbánat routolna (és főleg, milyen szabályok szerint)?

Hát emlékezetből rútol
--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Van ilyen. Arról lehet felismerni az erre képes alaplapokat, hogy bekapcsolás után ezt mondogatja a gép: „victim szajsz nevö jútá”

:D

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Leállítás után csak a Zombie process-ek futnak tovább.

:-)

:D

Nekem rémlik mintha olvastam volna valami programozható hálózati kártyáról amely hardverből képes a fizikai portjai között routolni, tűzfalazni. Én mondjuk nem emlékszem hogy konkrétan le lett volna írva, hogy operációs rendszer nélkül is működőképes, de igazából logikus lenne ha egyszer felprogramozod, akkor végzi a dolgát amíg áramot kap.

Széles Gábor likes this.. https://www.youtube.com/watch?v=XTnMSdJX6mk
--
God bless you, Captain Hindsight..

Az elmúlt időszakban sok hír volt az Intel Management Engine hibái kapcsán. Akár elképzelhetőnek tartom, hogy az eredeti poszt ezen információknak valamilyen félreértelmezése.

+1
Az intel management engine (néha csak "ME" rövidítéssel említik) egy gép a gépben. Ha a hoszt gép kap áramot és nincs letiltva az ME (van ahol nem is lehet) onnantól az 1 saját IP stack-el működő embedded OS-t futtat vígan, miközben a hoszt gép látszólag be sincs kapcsolva.
--

Hol nem lehet letiltani?

https://hothardware.com/news/researchers-figured-out-how-to-turn-off-intel-management-engine-11-thanks-to-nsa

Positive Technologies wrote, "The disappointing fact is that on modern computers, it is impossible to completely disable ME. This is primarily due to the fact that this technology is responsible for initialization, power management, and launch of the main processor. Another complication lies in the fact that some data is hard-coded inside the PCH chip functioning as the southbridge on modern motherboards."

Az a jó ezekben a secret undocumented backdoor-okban, h. amíg nem jön ki róla egy BlackHat/Defcon előadás, addig a laikus nép csak találgatni tud h. tényleg ki tudta-e kapcsolni v. még mindig aktív félig-meddig.
--

Amúgy az architektúrát megértve asztali (nem laptop) gép esetén elég könnyen és üzembiztosan kiiktatható a remote elérhetőség: másik Ethernet interfészt kell használni.

Értem én, meg az elosztót is le lehet kapcsolni minden alkalommal miután lelőttem a gépet, de ezek akkor is mind plussz nyűg.
--

A cikk után jó pár évvel került bevezetésre ez az Intel ME.

Kivancsi vagyok, hogyan kepzeltek el.

Ha azt mondana, hogy leallt az OS, meg a proci, meg ez-az, de a halokartya kapott tovabbra is tapot es a konfiguraciojat megtartva tovabbra is a halora kapcsolodva maradt, azt meg ugy-ahogy elfogadnam.

Bizonyos dolgok mukodhetnek esetleg egy ilyen kartyan, pl. ha hardverbol megy az ethernet protokol beszede, akkor eszreveheti, hogy neki cimzett uzenet erkezik a droton, stb.

Na de utana mi tortenik, feltetelezve a legjobb esetet? A kartya kommunikal a droton jol. Veszi az adast. Beteszi a bufferbe. Kuld egy interruptot.
Aztan az interruptra nem reagal senki, senki nem uriti ki a buffert, senki nem mondja, hogy rendben, fogadhatsz ujabb frame-et.
Es foleg senki sem fog routolasi donteseket vegezni, uj cimekre csomagokat kesziteni, es a kartyanak szolni, hogy ezt kuldje el ide vagy oda.

Szerintem.

Ha tevedek, akkor szakemberek, lepjetek meg es magyarazzatok el, hogy mukodhetett ez, legalabb elmeleti szinten. (Gondolom nem az a megoldas, hogy az ethernet kartya sajat kis ramjaban/romjaban teljes TCP/IP stack is volt meg routing tabla es hozza tartozo logika meg ARP table meg minden).

Nem lehet hogy az még az AT házas "Kérem kapcsolja ki" időkről szólt? Hogy a Linux is becsukta a bazárt, de még bizonyos hálózati részei működtek, amíg ki nem nyomták a power-t?

Hogy érted? A Linux/Windows/akármi leállt, de a processzor maradt bekapcsolva? Szóval az OS nem küldött neki mondjuk egy HLT utasítást, csak rávezette egy NOP-ból álló végtelen ciklusra, de azért a proci továbbra is figyelt az interruptokra?

Ebben a hozzászólásban ott a link az eredeti Dr. Dobb's Journal-féle cikkre:
https://hup.hu/node/159616#comment-2238747
Teljesen jól leírja, hogy mire gondolt anno a költő.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Nyilván.

>> Ugyanakkor nagyon biztonságos router ebben az állapotában a Linux, gyakorlatilag törhetetlen.

oO

gyakorlatilag törhetetlen.

Mint a PET palack :D

--
zrubi.hu

Valamit a témához esetleg?!


Normális HUP-ot használok!

mi lenne a téma? az agyrokkantság?

Reg lattam ennyi fogyatekot egy topiknyito textben a hupkon. Elo szokott fordulni, de ehhez hasonlo merteku fogyatek-leak reg volt ilyen formaban.