Toon posts:

[Eee PC] Secure system setup (sudo, vpnc, ICA)

Pagina: 1
Acties:

maandag 9 juni 2008 20:56

Acties:
  • benoni
  • Registratie: November 2003
  • Niet online

benoni

Topicstarter
Hier staat een Eee PC 900. Het apparaatje gaat getest worden als werkstation voor onderweg en thuis, met een Citrix client er op, die middels vpnc in verbinding moet worden gesteld met een bedrijfsnetwerk achter een Cisco ipsec VPN.

Het standaard Xandros staat er op (Eee PC 1.1.0.13), aangevuld met vpnc 0.3.3 (Debian stable repository toegevoegd in /etc/apt/sources.lst), Citrix ICA Client versie 8. De AsusLauncher menu's zijn uitgebreid met icons voor deze toepassingen, zodat het voor de gebruikers simpel werkt. Daarbij wilde ik het systeem ook wat fatsoenlijker beveiligen.

Helaas is bij het standaard meegeleverde systeem de veiligheid ondermaats, of beter gezegd: niet aanwezig. Ze hebben een 'NOPASSWD' voor de standaard gebruiker in de sudoers file gezet, dus alles kan en mag, als je er maar 'sudo' voor zet. Ik weet niet hoe Asus dat wil gaan verkopen als de Eee gebruikers net als bij Windows bestookt gaan worden met 'OMG ROFL kijk eens in dit bestandje' malware. Zeker voor het gebruik als VPN client bij bedrijven kan dit niet door de beugel. Het is bijvoorbeeld al zinloos om voor het profielbestand van vpnc de leesrechten te beperken, want met sudo zijn de wachtwoorden altijd over te nemen.

Ik wil deze draad beginnen met de vraag of anderen op hun Eee PC al eens de sudo normaal hebben ingesteld (met wachtwoord, oftewel de 'NOPASSWD' uit de config gehaald) en hoe het systeem daar mee omgaat (krijg je vanzelf gksu vensters?).

Daarnaast zijn ook aanverwante tips welkom, als er behoefte aan is vat ik de installatie-procedure samen in een how-to.

dinsdag 10 juni 2008 07:21

Acties:
  • icyx
  • Registratie: Januari 2007
  • Niet online

icyx

chown -R us ./base

benoni schreef op maandag 09 juni 2008 @ 20:56:
Hier staat een Eee PC 900. Het apparaatje gaat getest worden als werkstation voor onderweg en thuis, met een Citrix client er op, die middels vpnc in verbinding moet worden gesteld met een bedrijfsnetwerk achter een Cisco ipsec VPN.

Het standaard Xandros staat er op (Eee PC 1.1.0.13), aangevuld met vpnc 0.3.3 (Debian stable repository toegevoegd in /etc/apt/sources.lst), Citrix ICA Client versie 8. De AsusLauncher menu's zijn uitgebreid met icons voor deze toepassingen, zodat het voor de gebruikers simpel werkt. Daarbij wilde ik het systeem ook wat fatsoenlijker beveiligen.

Helaas is bij het standaard meegeleverde systeem de veiligheid ondermaats, of beter gezegd: niet aanwezig. Ze hebben een 'NOPASSWD' voor de standaard gebruiker in de sudoers file gezet, dus alles kan en mag, als je er maar 'sudo' voor zet. Ik weet niet hoe Asus dat wil gaan verkopen als de Eee gebruikers net als bij Windows bestookt gaan worden met 'OMG ROFL kijk eens in dit bestandje' malware. Zeker voor het gebruik als VPN client bij bedrijven kan dit niet door de beugel. Het is bijvoorbeeld al zinloos om voor het profielbestand van vpnc de leesrechten te beperken, want met sudo zijn de wachtwoorden altijd over te nemen.

Ik wil deze draad beginnen met de vraag of anderen op hun Eee PC al eens de sudo normaal hebben ingesteld (met wachtwoord, oftewel de 'NOPASSWD' uit de config gehaald) en hoe het systeem daar mee omgaat (krijg je vanzelf gksu vensters?).

Daarnaast zijn ook aanverwante tips welkom, als er behoefte aan is vat ik de installatie-procedure samen in een how-to.
Ik heb bij de eerste asus EEE pc (met 8gb hd/1gb ram, de 701?) die ik thuis heb even kort gekeken wat er gebeurde als ik sudo inderdaad normaal instelde, maar dan komt de EEE bij zijn boot in een loop. Ik moet eerlijk zeggen dat ik er niet heel goed naar gekeken had, maar de EEE-boot gebruikte de file /sbin/fastinit voor zijn 'startup'. Alle commands in die semi-binary file worden adhv sudo gedraaid. Ik had zelf geen zin om uit te zoeken hoe ik het kon 'beveiligen' in verband met het ontbreken van persoonlijke data op de laptop.
Als ik jou was, en de laptop werd inderdaad gebruikt, dan zou ik de laptop gewoon met Debian installeren. Zo'n profiel bestand heeft natuurlijk ook geen zin als die flashchips uit de EEE PC gehaald worden, en aan een andere pc worden gehangen. Kortom, installeer Debian (zie hier hoe makkelijk alles werkt, inclusief wifi) en begin gelijk met het gebruik van dm_crypt. Daarna kan je eventueel IceWM nog installeren en de oude config meegeven :)

When you think you’ve succeeded / but something’s missing / means you have been defeated / by greed, your weakness.

dinsdag 10 juni 2008 14:41

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 23-01 15:29

lordgandalf

ben ook met een asus eeepc aan het spelen.
maar wat een gedoe om wpa-eap aan de praat te krijgen zeg.
dat dat er niet standaar in zit net als wpa2

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 10 juni 2008 15:34

Acties:
  • benoni
  • Registratie: November 2003
  • Niet online

benoni

Topicstarter
Dankjewel icyx voor de tips!

Functioneel gezien werkt het hier nu wel, vpnc kan verbinding maken en de Citrix client doet 't goed.
Vooringestelde (real-text) wachtwoorden kun je in de config zetten, maar ik laat ze open, omdat de config blijkbaar niet is te beveiligen zonder het systeem helemaal te verbouwen. Ik moet nog een pop-up venster dingetje maken zodat de gebruiker het wachtwoord kan intikken, desnoods in een simpel terminalvenster.

Voor een proef van enkele weken vind ik 't wel goed zo, maar als we meer Eee PC's als client gaan inzetten, komt er zeker Debian op. De installatie-procedure van vpnc en Citrix client blijft daarmee vrijwel hetzelfde, en ik zou ook een image kunnen maken net zoals voor de Debian destops hier.

dinsdag 10 juni 2008 23:48

Acties:
  • icyx
  • Registratie: Januari 2007
  • Niet online

icyx

chown -R us ./base

lordgandalf schreef op dinsdag 10 juni 2008 @ 14:41:
ben ook met een asus eeepc aan het spelen.
maar wat een gedoe om wpa-eap aan de praat te krijgen zeg.
dat dat er niet standaar in zit net als wpa2
Ik ben het met je eens dat asus er echt een t*ring bende van heeft gemaakt met het EEE-PC os. Ik snap niet waarom het geen default Debian / slack / ubuntu of zelfs xandros is. Voeg hier je eigen packages aan toe, en klaar. Nee, men moet het halve systeem incompatible met 'normale regels' gaan verbouwen..
benoni schreef op dinsdag 10 juni 2008 @ 15:34:
Dankjewel icyx voor de tips!

Functioneel gezien werkt het hier nu wel, vpnc kan verbinding maken en de Citrix client doet 't goed.
Vooringestelde (real-text) wachtwoorden kun je in de config zetten, maar ik laat ze open, omdat de config blijkbaar niet is te beveiligen zonder het systeem helemaal te verbouwen. Ik moet nog een pop-up venster dingetje maken zodat de gebruiker het wachtwoord kan intikken, desnoods in een simpel terminalvenster.

Voor een proef van enkele weken vind ik 't wel goed zo, maar als we meer Eee PC's als client gaan inzetten, komt er zeker Debian op. De installatie-procedure van vpnc en Citrix client blijft daarmee vrijwel hetzelfde, en ik zou ook een image kunnen maken net zoals voor de Debian destops hier.
Alsjeblieft ;)

Verder kan je inderdaad wel popups in je script zetten voor het vragen van je passwords, maar dan zit je nog met het probleem wat er is als een gebruiker bestanden van het bedrijf lokaal opslaat (om wat voor reden dan ook) en de laptop raakt kwijt. Op zo'n moment is dm_crypt echt een lifesaver. Verder is een image inderdaad een erg goede optie, zeker omdat de hardware ook nog eens identiek is ook :)

When you think you’ve succeeded / but something’s missing / means you have been defeated / by greed, your weakness.

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq