¿Cómo puedo borrar de forma remota el contenido de una computadora portátil Linux si ha sido robada?

10

Actualmente estoy investigando el uso de Linux Laptops para mi equipo de desarrollo. Actualmente ejecutamos Windows. La única ventaja que sigue apareciendo para Windows sobre Linux desde la perspectiva de la administración / seguridad del sistema es el hecho de que, si se roba una computadora portátil, se puede eliminar de forma remota en el arranque.

He estado tratando de encontrar información sobre esta capacidad para estaciones de trabajo basadas en Linux, pero he llegado con las manos vacías. ¿Alguno de ustedes utiliza Linux en un entorno empresarial en estaciones de trabajo y, de ser así, ha sido este un requisito que haya resuelto? No estoy seguro de dónde buscar.

Gracias

    
pregunta rbieber 23.02.2012 - 14:44
fuente

4 respuestas

14

He echado un vistazo y creo que esta pregunta ofrece algunas opciones interesantes. Los resumiré aquí:

  • dd if=/dev/zero of=/dev/sdaX copia ceros en todo el disco. rm -rf --no-preserve-root / recursivamente borra todos los archivos en un disco, anulando la advertencia rm -rf / en los sistemas donde está habilitado. Si puede acceder a un cuadro a través de ssh, ejecutar la variante dd debería destruir su disco de manera efectiva.
  • La opción de grub es interesante porque le da acceso a VNC. Sin embargo, para el atacante probablemente sea obvio que está lanzando VNC. ¡Deberían golpear la opción de grub correcta para empezar! Un menú de grub oculto con la entrada de lanzamiento real podría bastar ... pero estamos hablando de trucos.
  • Esta pregunta de AskUbuntu trata de esto problema también, recomendar una solución.

Si está preparado para realizar algún trabajo por su cuenta, puede configurar una entrada init muy temprana en la etapa con sysvinit o lo que sea que use su sistema: verifique la URL que controla, p. ej. https://remotecheck.yourcompany.com y si el dispositivo es robado, comience a limpiar.

El problema final con cualquier solución de borrado remoto es invocarlo: debe poder acceder al dispositivo. La razón por la que menciono el uso de un trabajo invocado por el inicio personalizado es que es más probable que tenga acceso que el acceso directo o conocido, es decir, si el atacante está detrás de un enrutador en su base de operaciones, es probable que las conexiones salientes están permitidos y mucho más bajo que tienen una IP a la que se puede enlazar y permitir las conexiones entrantes.

Por supuesto, ninguna de estas soluciones realmente garantiza nada: si el atacante sabe cómo funcionan, simplemente puede desactivarlas. Una solución mencionada en los comentarios es usar el cifrado del disco, que hará que el disco sea ilegible bajo estas advertencias:

  • el disco completo está cifrado; de lo contrario, su software podría escribir en áreas no cifradas.
  • el sistema está apagado o, por ejemplo, luksSuspend -wipe se ha ejecutado para eliminar las claves de la memoria.
  • el atacante no ha tenido forma de observar la entrada clave antes de robar el dispositivo.

Sinceramente, me gustaría usar el cifrado del disco.

    
respondido por el user2213 23.02.2012 - 16:40
fuente
7

Los datos pueden protegerse cifrando el disco duro con Truecrypt por ejemplo, pero esto no es suficiente ...

EDITAR: revise el comentario importante de Oliver Salzburg sobre la diferencia entre el cifrado de HD y el de datos.

Creo que la mejor forma de proteger y, a veces, de recuperar una computadora portátil robada es utilizar una aplicación dedicada para este propósito, como Prey o LoJack . LoJack, por ejemplo, utiliza algunas funciones de bajo nivel en algunos modelos de portátiles para protegerlo, incluso si se extrae el disco duro ... Esto se denomina "módulo de persistencia" instalado en algunos modelos de computadoras.

Consulte el sitio web de Absolute Software para obtener una lista de computadoras / modelos con esta tecnología.

También mire ( por ejemplo ):

LoJack: enlace

Prey: enlace

Espero esta ayuda. Háganos saber.

    
respondido por el climenole 23.02.2012 - 14:33
fuente
3

Solo una opción rápida que lanzaré allí: haga que cree un túnel SSH en el arranque.

Tendrá control total sobre todos sus recursos siempre que tenga una conexión a Internet desde el trabajo. ¿Necesitas limpiarlo? Limpialo. ¿Necesitas tomar un archivo de alguien fuera de la oficina? ¿Instalar software? ¿Montar un recurso de servidor para ellos? Instale VNC y golpee otro túnel y ayúdelos a distancia.

Creo que puedes editar un archivo de configuración sshd para que en la creación del túnel con una PC específica puedas automatizar la eliminación y el registro de que se haya realizado.

Si alguien más piensa en una buena idea, creo que podemos empezar a investigar la viabilidad de la misma.

Por supuesto, si tiene cifrado completo del disco, tendrán que iniciarse en el sistema operativo para llegar a este punto (como ocurre ahora con Windows, no puede borrarlos hasta que hayan descifrado el cifrado del disco, lo que probablemente significa que ya han clonado todo ... de todos modos, si está haciendo el cifrado completo del disco).

    
respondido por el StrangeWill 23.02.2012 - 21:32
fuente
0

Uso LUKS para cifrar todo el disco duro.

Si instala Scientific Linux 6 o Fedora reciente, puede encontrar una casilla de verificación para cifrarlo. Se requerirá una frase de contraseña al inicio.

    
respondido por el kamae 28.02.2012 - 09:47
fuente

Lea otras preguntas en las etiquetas