Schnelle Live-Systeme mit SATA-DOM SSDs und Hardwareschreibschutz
 

Der bisherige Einsatz von Live-Systemen auf DVD oder USB-Stick setzt eine gewisse Leidensfähigkeit und Verzweiflung der Anwender voraus.

SATA-DOM SSDs sind für mich der optimale Ersatz für USB-Sticks mit Schreibschutzschalter, wenn ein Live-System nicht portabel sein muss.

Ich habe die Hardware etwas erweitert.
hxxp://www.vkldata.com/
vkldata_start

Eure Meinung über Sicherheit, Handhabung und Verbesserungsvorschläge wären für mich interessant.
Würdet ihr SATA-DOMs einsetzen?


Volker

Inwiefern? Ein Notfall-/Live-System wird ja nicht jeden Tag ständig benutzt und täglich zigmal rebootet. Ein Live-System braucht man vllt zur Installation von einem Linux-Desktop, zur Diagnose oder einfach mal um was auszuprobieren.

Manche müssen unbedingt ja onlinebanking mit einem Live-System machen. Das hat aber auch gewisse Nachteile.

Ich seh den Bedarf für deinen SATA-Aufsatz nicht so wirklich :wtf:

Schnelle Live-Systeme mit SATA-DOM SSDs und Hardwareschreibschutz
 

Leidensfähig ->Der Start ist langsam und Updates sind unkomfortabel, besonders mit DVD.

Wenn ein portables Rettungs-System benötigt wird, da hast Du recht, da geht momentan nichts an einem USB-Stick vorbei.
Danke für den Hinweis, das unter einem "Live-System" möglicherweise immer nur Rettungs-Systeme angenommen werden.

Ich habe ein Produktivsystem mit Hardwareschreibschutz zum Surfen, Email und etwas Textverarbeitung gesucht, bei dem die Systemsoftware (MBR, Betriebssystem, Programme und Teile der Konfiguration/Anwenderverwaltung) mit wenigen Anpassungen (bspw. cache -> tmpfs etc.) wie ein ROM zu behandeln ist.
D.h. schnell, kein Aufräumen erforderlich und ganz wichtig, keine Schadsoftware, die sich doch irgendwie permanent in die Systembereiche mogeln kann bzw. dort Veränderungen vornimmt.

Dann können nur noch Skripte und Exes auf den beschreibbaren Arbeitsmedien im /Home/Userspace abgelegt werden. Diese "Schlafenden Hunde" müssen aber auch erst irgendwie wieder aktiviert werden.

Neue Cookies etc. sind nach jedem Kaltstart automatisch gelöscht. Ich muss nicht für jedes Programm immer bei der Erstinstallation die entsprechenden Flags setzten - da ist schnell mal was vergessen.
ctsurfix geht nur auf einem USB-Stick und ist daher gegenüber einer SSD immer noch langsam. So eine Spaßbremse wird dann auch nicht eingesetzt.
Ich arbeite gerade problemlos mit einem LinuxMint und Hardwareschreibschutz.

Wie würdest Du so ein "Live-System" benennen?



Welche Nachteile genau siehst Du?

Ich habe den alleinigen Anspruch an linuxbasierten Live-Systemen, dass ich sie auch TORAM laden kann. Das dauert dann noch etwas länger. Aber auch nur dann, wenn es nicht sinnloserweise mit irgendeinem fetten Desktop-Environment wie KDE oder Gnome und deren Anwendungen wie z.B. LibreOffice vollgemüllt ist. Als schönes Beispiel führe ich mal http://www.grml.org an, was z.B. nur den Window-Manager Fluxbox verwendet und TORAM gebootet werden kann. Da kann man dann auch den USB-Stick abziehen und den Port anderweitig nutzen. Leider gab es bei GRML seit einem Jahr kein Update. Hoffentlich wird es fortgeführt. Evtl. Sicherheitslücken in GRML sind aber eher unkritisch würde ich mal behaupten.

Wie gesagt, ich seh den Bedarf einfach so nicht, aber da kann jmd ja andere Anforderungen haben. Ich find der Aufwand ist nicht wirklich gerechtfertigt nur weil man hier und da mal wieder ein Livesystem booten muss.

Ansosnten lässt sich ein normal installiertes System auch so einrichten, dass es keine Daten hinterlässt.

Ein Live-System ist ein readonly medium. Also hast du schonmal das Problem mit den Updates. Dann find ich es auch ziemlich deppert nur für etwas onlinebanking das System herunterzufahren und ein livesystem von DVD oder Stick zu booten...da richte ich mein Haupsystem lieber gleich vernünftig ein oder verwende eine VM....

@vk_s
Welches Live-System nutzt du denn? Ganz gut gemacht ist auch BunsenLabs als Nachfolger von Crunchbang. Evtl. benötigte Admin-Tools kannst du wie auch bei GRML ganz einfach aus den Debian-Repositories im Live-System temporär nachinstallieren.

Ich verwende ein LinuxMint als Produktivsystem (Email, Surfen, Office). Das startet in ca. 20 sec aus dem Kaltstart. Mit einer reinen (umständlichen) Systemkonfiguration kann ich das Grundprinzip nicht sicherstellen, dass nichts auf dem Systemdatenträger verändert wird. Eine VM benötige ich mit einem Hardware Write Protect nicht. Das System befindet sich nach einem Start im RAM(Puffer) und ist zur Laufzeit auch nur dort angreifbar.
VM sind wieder eine SW mehr (Updates/Bugs, Verwaltungsaufwand, zus. Anwendungswissen erforderlich ) und auch Hypervisoren sind angreifbar. Ein Problem mit Updates habe ich nicht, gerade weil der Datenträger nun schnell und schnell zwischen RW und Read-Only umschaltbar ist.

Hast du auch eine Begrüdung für dies Paranoia? :wtf:

Wer oder was soll denn ständig aus deinem Systemdatenträger etwas ändern?

Was du brauchst ist das hier

Was an einer VM mit VirtualBox so schwierig sein soll versteh ich nicht ganz, das mit irgendwelchen Hardwareaufsätzen find ich viel umständlicher. Und nur mit einer VM hat man die Möglichkeit ohne das echte wichtige System vorher herunterzufahren doch eine isolierte Umgebung nutzen zu können. Dafür sind VMs da. Nur auf uralter Hardware mit wenig RAM gibt es keinen Grund, VMs zu nutzen.

Vor einiger Zeit habe ich mir mal http://linuxbbq.org angeschaut. Da kann man recht schöne Dinge bauen. Man kann auch vom gebooteten Live-System ein neues Live-System bauen. Dieses muss man dann auf einem gemounteten Datenträger zwischenspeichern und anschließend von einem alternativen Linux/Windows als Image z.B. auf einen USB-Stick kopieren.

Konkreter das . RSH hat das
LazY Puppy zusammengebastelt und benutzt es selber nur als Live-System.
LG. harlud

Für mein Teil verwendet ein hardening Kernel/System und für empfindliche Sachen in "Netz der Dinge" wird eine extra restriktive Sandbox in Ram angelegt die nach der Nutzung entfernt wird.

Eine extra Live Medium für empfindliche Sachen in "Netz der Dinge" hat schon echt was von Overheat und bringt nur ein "Gefühl von Sicherheit".

Zum VM Vorschlag
Muss immer über diese Panikmache der Mainstream Medien in Bereich "Sicherheit" Breit Grinsen - Hack Me 127.0.0.1, die gleichen Medien bezahlt von den Content Mafia überzeugen die Lemminge wie Wichtig aus "Sicherheitsgründen" dieses "Must Have Online" Gedöns ist. :D :D
Siehe Apple, Google, M$ ...

Wenn man mal was ausprobieren und wissen will wie sich das System auf der echten Hardware anfühlt ist ein LIVE System schon echt gut. Für echte sicherheitskritischen Dinge aber weniger geeignet, da dort die Problematik mit den Updates besteht.

Nun :D so war es ja auch nicht gedacht, wenn mein Wirt schon verseucht ist, bringt logischerweise das Gastsystem auch keine Sicherheit. Es sollte jaauch klar sein, dass man sein Wirt-OS hegt und pflegt und die Testerei mit potentiell gefährlichem scheiß in der isolierten VM dann macht. Dann macht man notfall nur die VM platt und wieder neu, der Wirt ist dann nicht betroffen.

Ist das aber nicht genau hier in den Foren ein Hauptthema, dass sich etwas in eine Systemsoftware eingenistet hat oder daran ungewollt Veränderungen vorgenommen werden?
Mein Vorschlag verhindert das zuverlässig(er). Oder?

Wie kommst Du auf "Paranoia"?
Ich habe eher das Gegenteil im Sinn. Ich will entspannter auch mal einen Sicherheitshinweis nicht mitbekommen haben (bspw. VM unsicher - Update kommt irgendwann),
bzw. mal aus Versehen eine Trojaner-Crypto-Mail öffnen können, ohne gleich die Krätze im PC zu haben.
Gegenüber den drögen Live-Systemen auf USB-Stick und DVD, gerade wenn sie als Produktivsystem zum Surfen, EMails und Office empfohlen werden,
möchte ich eine technisch schnelle und unkompliziertere Variante mit ihren Vorteilen vorstellen. Diese Variante habe ich bisher in den Foren so nicht gefunden.
Interessant ist, dass in den Antworten immer (die für mich zweitbesten) SW-Lösungen (VM, spezielle Distris, sichereres Betriebssystem) dem entgegengehalten werden und nicht über diesen technischen Ansatz diskutiert wird.

Ist das ein Hinweis auf Hardwarephobie?;-)

Nö, hat nix mit Hardwarephobie zu tun. Ich seh den Vorteil einfach nicht, weil man die allgemein empfohlenen Sicherheitsmaßnahmen einfach mal umsetzen muss. Dann hat man auch ohne Hardware-Exoten-Sonderlocken sein Ziel erreicht.

Ich weiß auch echt nicht was an einer VM so mega unsicher sein soll. Auch den Wirt kann man abdichten und härten bis der Arzt kommt. Deswegen frage ich warum diese Extra-Paranoia mit SATA-Exot. :kaffee:

Diese "Hardware-Exoten-Sonderlocken" sind üblich in der Embedded-Industrie, für Server, Medizinprodukte etc.. Ich finde, diese Hardwareoption sollten auch mal die Otto-Normal User kennenlernen.

Eine VM ist nicht "mega unsicher" aber sie ist nicht 100%tig. Das ist alles. Sie ist sogar mit die beste Wahl, wenn nichts anderes (Exoten) möglich ist.


Die allgemein empfohlenen Sicherheitsmaßnahmen, eine VM oder eine SW-Abhärten bis der Arzt kommt sind mit diesen "Exoten" allerdings erst gar nicht erforderlich. Und was man nicht braucht kann weder vergessen oder mangelhaft konfiguriert werden. Das hält ein System einfach und macht es quasi Idiotensicher.
Im Prinzip könntest Du sogar als root/admin alles ansurfen und alle EMails öffnen. Nach einem Kaltstart ist der ganze Mist und die Manipulationen aus deinem System wieder automatisch verschwunden. Das ist doch was. Dafür gibt es bestimmt eine Anwendergruppe.

Durch weitere ständige Verdongelung der Systeme mit teilweise verdeckten Onlinediensten ist es möglich Manipulationen jeglicher Art nach einen Kaltstart automatisch zu laden.
Siehe "Secure Boot" -der Nebelwerfer schlechthin- mit diversen sicherheitsrelevanten Problemen bis hin zur "automatisierten" Auslagerung / Abfrage von empfindlichen Daten in den "Wolken".

Es ist nur eine Frage der Zeit damit die Content Mafia wieder ein weiteren Panikknopf drücken kann.

Für Profis und Bastler sicherlich interessant, für normale Anwender eher weniger. Normale Anwender steigen idR schon aus, wenn man ihnen was von eingeschränkten Rechten erzählt :balla:

Sie ist schon gut vom Wirt abgeschottet. Wenn man mal eben schnell was probieren will hat man eine isolierte Umgebung.

Übrigens deine 100% Sicherheit hast du nirgends.

Das hast du bei nem Live-System doch auch. Oder meinetwegen bei einer VM, die nach einem Start sämtliche Schreibzugriffe umleitet in eine tmp. Datei für die virtuelle Disk und nach Herunterfahren diese löscht, sodass die ursprüngliche virtuelle Disk dieser VM unverändert bleibt.

Mit so einem Schreibschutzschalter kann auch Tante Erna umgehen. Da brauch ich nix lang zu erklären.


Solche Binsenweisheiten helfen nicht weiter und halten die Leichtgläubigen nur von der Suche nach Verbesserungen und Problemlösungen ab.
Im übrigen liegst Du falsch.
Ich habe einen USB-stick so umgebaut, dass der FLASH-Speicher mit 100%tiger Sicherheit nicht mehr umgeschrieben werden kann, wenn der Hardwareschreibschutz aktiviert wurde. Jumper + Widerstand etc. haben ca. 3 Cent gekostet.
Das Zauberwort heisst hier /WP-Pin. Ist dieser Pin am FLASH-Baustein aktiviert, werden über die Festverdrahtung im Silizium die Schreibkommandos an den Speicherbaustein blockiert.
Eine Umgehung mit SW ist mir bisher nicht bekannt und erwarte ich auch nicht.
Es gibt also Ausnahmen von der Regel, wenn man den Kopf nicht in den Sand steckt. Es liegt dann an den Anwendern, dass das nicht eine Ausnahme bleibt. Diese Designmöglichkeiten müssen nur bekannt sein und eingefordert werden.


Genau, womit wir wieder an meinem Eingangstext wären.

Ich beschreibe es mal etwas genauer:
Ich installiere ein Linux auf einer DOM-SSD, ganz normal und mit den üblichen SSD Optimierungen (kein swap, die /tmps nach Tempfs etc).
Danach schalte ich den Hardwareschreibschutz am DOM ein (Live-System Modus). Diese Systeme starten nun so schnell, wie man es von SSDs gewöhnt ist (1. Vorteil gegenüber Live-Systemen auf USB oder DVD)
Ein System-Update wird dann wie folgt ausgeführt - System herunterfahren - Schreibschutzschalter umlegen- System starten und nun nur das Update wie gewohnt aktivieren- Neustart des Systems wieder mit HW-Schreibschutz. Das wars. (2. Vorteil gegenüber Live-Systemen auf USB bzw DVD). Ein Update ist fast so schnell und komfortabel, wie auf einer SSD ohne Schreibschutz und ein zusätzliches Anwenderwissen ist nicht erforderlich. Dann werden auch eher Sicherheitsupdates eingespielt. Mit HW-Schreibschutz ist ein so schreibgehärtetes Linuxsystem, bis hinunter zum MBR, gegen Manipulation abgesichert.

Diese 3. Alternative von SW schreibgehärteten Linuxsystemen, neben DVD und USB-Live, hatte ich bisher so nicht gesehen. Die Handhabung ist im Normalbetrieb gegenüber VMs unkomplizierter. Daher sehe ich diese Technik, gerade für den durchnittlichen Anwender, als durchaus geeignet an. Wer den Wartungsaufwand von VM,- USB- und DVD-Live Systemen scheut, hat nun eine weitere Alternative zur Auswahl. Es gibt nichts geschenkt. Hier ist halt ein zus. aber wartungsfreier Schalter am PC erforderlich.

Mich würde interessieren, ob jemand diese DOM-SSDs auch so eingesetzt hat?
Erfahrungswerte aus der Praxis etc.

Das ist Quatsch. Es gibt keine 100 % Sicherheit.

Ja und? Damit stellst du sicher, dass nichts im Dateisystem auf der rootpartition verändert werden kann. Aber die laufende OS-Session kann trotzdem kompromittiert werden und wenn ist sie es solange du neu bootest. Wie gesagt, dasselbe hast du bei meinem VM-Szenario mit dem umgeleiteten Schreizugriff oder dem Live-System auch.


Schon klar. Aber bei meinen normalen Systemen hab ich so noch nichts beobachtet was einfach mal so den MBR manipulieren will. Linux-Malware ist übrigens dünn gesät und man fuchtelt idR auch nicht ständig mit rootrechten irgendwo herum.

Sagma, hast du irgendwie ne VM-Phobie? :wtf:
Vorher meintest du ne VM sei rel. unsicher und nun komplizierter? Ich kann echt nicht nachvollziehen, was so kompliziert an einer VM sein soll. V.a. wenn es sowas wie VirtualBox ist. Niemand sagt er möge VMWare ESXi oder Citrix XenServer aufsetzen nur weil er mal was in einer VM testen möchte :D


Also ich nicht ;) da ich auch keine Notwendigkeit dafür für mich/uns gesehen habe - dank Virtualisierung (einfachere Backup dank VMs sind auch drin), Live-Systemen und die Möglichkeit der Härtung normal installierter Systeme.