Nö, hat nix mit Hardwarephobie zu tun. Ich seh den Vorteil einfach nicht, weil man die allgemein empfohlenen Sicherheitsmaßnahmen einfach mal umsetzen muss. Dann hat man auch ohne Hardware-Exoten-Sonderlocken sein Ziel erreicht.

Ich weiß auch echt nicht was an einer VM so mega unsicher sein soll. Auch den Wirt kann man abdichten und härten bis der Arzt kommt. Deswegen frage ich warum diese Extra-Paranoia mit SATA-Exot.

Zitat:

Zitat von cosinus

Nö, hat nix mit Hardwarephobie zu tun. Ich seh den Vorteil einfach nicht, weil man die allgemein empfohlenen Sicherheitsmaßnahmen einfach mal umsetzen muss. Dann hat man auch ohne Hardware-Exoten-Sonderlocken sein Ziel erreicht.

Ich weiß auch echt nicht was an einer VM so mega unsicher sein soll. Auch den Wirt kann man abdichten und härten bis der Arzt kommt. Deswegen frage ich warum diese Extra-Paranoia mit SATA-Exot.

Diese "Hardware-Exoten-Sonderlocken" sind üblich in der Embedded-Industrie, für Server, Medizinprodukte etc.. Ich finde, diese Hardwareoption sollten auch mal die Otto-Normal User kennenlernen.

Eine VM ist nicht "mega unsicher" aber sie ist nicht 100%tig. Das ist alles. Sie ist sogar mit die beste Wahl, wenn nichts anderes (Exoten) möglich ist.


Die allgemein empfohlenen Sicherheitsmaßnahmen, eine VM oder eine SW-Abhärten bis der Arzt kommt sind mit diesen "Exoten" allerdings erst gar nicht erforderlich. Und was man nicht braucht kann weder vergessen oder mangelhaft konfiguriert werden. Das hält ein System einfach und macht es quasi Idiotensicher.
Im Prinzip könntest Du sogar als root/admin alles ansurfen und alle EMails öffnen. Nach einem Kaltstart ist der ganze Mist und die Manipulationen aus deinem System wieder automatisch verschwunden. Das ist doch was. Dafür gibt es bestimmt eine Anwendergruppe.

Zitat:

[...]Nach einem Kaltstart ist der ganze Mist und die Manipulationen aus deinem System wieder automatisch verschwunden.[...]

Durch weitere ständige Verdongelung der Systeme mit teilweise verdeckten Onlinediensten ist es möglich Manipulationen jeglicher Art nach einen Kaltstart automatisch zu laden.
Siehe "Secure Boot" -der Nebelwerfer schlechthin- mit diversen sicherheitsrelevanten Problemen bis hin zur "automatisierten" Auslagerung / Abfrage von empfindlichen Daten in den "Wolken".

Es ist nur eine Frage der Zeit damit die Content Mafia wieder ein weiteren Panikknopf drücken kann.

Zitat:

Zitat von vk_s

Diese "Hardware-Exoten-Sonderlocken" sind üblich in der Embedded-Industrie, für Server, Medizinprodukte etc.. Ich finde, diese Hardwareoption sollten auch mal die Otto-Normal User kennenlernen.

Für Profis und Bastler sicherlich interessant, für normale Anwender eher weniger. Normale Anwender steigen idR schon aus, wenn man ihnen was von eingeschränkten Rechten erzählt

Zitat:

Zitat von vk_s

Eine VM ist nicht "mega unsicher" aber sie ist nicht 100%tig. Das ist alles. Sie ist sogar mit die beste Wahl, wenn nichts anderes (Exoten) möglich ist.

Sie ist schon gut vom Wirt abgeschottet. Wenn man mal eben schnell was probieren will hat man eine isolierte Umgebung.

Übrigens deine 100% Sicherheit hast du nirgends.

Zitat:

Zitat von vk_s

Im Prinzip könntest Du sogar als root/admin alles ansurfen und alle EMails öffnen. Nach einem Kaltstart ist der ganze Mist und die Manipulationen aus deinem System wieder automatisch verschwunden. Das ist doch was. Dafür gibt es bestimmt eine Anwendergruppe.

Das hast du bei nem Live-System doch auch. Oder meinetwegen bei einer VM, die nach einem Start sämtliche Schreibzugriffe umleitet in eine tmp. Datei für die virtuelle Disk und nach Herunterfahren diese löscht, sodass die ursprüngliche virtuelle Disk dieser VM unverändert bleibt.

Zitat:

Für Profis und Bastler sicherlich interessant, für normale Anwender

Mit so einem Schreibschutzschalter kann auch Tante Erna umgehen. Da brauch ich nix lang zu erklären.

Zitat:

Übrigens deine 100% Sicherheit hast du nirgends.

Solche Binsenweisheiten helfen nicht weiter und halten die Leichtgläubigen nur von der Suche nach Verbesserungen und Problemlösungen ab.
Im übrigen liegst Du falsch.
Ich habe einen USB-stick so umgebaut, dass der FLASH-Speicher mit 100%tiger Sicherheit nicht mehr umgeschrieben werden kann, wenn der Hardwareschreibschutz aktiviert wurde. Jumper + Widerstand etc. haben ca. 3 Cent gekostet.
Das Zauberwort heisst hier /WP-Pin. Ist dieser Pin am FLASH-Baustein aktiviert, werden über die Festverdrahtung im Silizium die Schreibkommandos an den Speicherbaustein blockiert.
Eine Umgehung mit SW ist mir bisher nicht bekannt und erwarte ich auch nicht.
Es gibt also Ausnahmen von der Regel, wenn man den Kopf nicht in den Sand steckt. Es liegt dann an den Anwendern, dass das nicht eine Ausnahme bleibt. Diese Designmöglichkeiten müssen nur bekannt sein und eingefordert werden.

Zitat:

Das hast du bei nem Live-System doch auch.

Genau, womit wir wieder an meinem Eingangstext wären.

Ich beschreibe es mal etwas genauer:
Ich installiere ein Linux auf einer DOM-SSD, ganz normal und mit den üblichen SSD Optimierungen (kein swap, die /tmps nach Tempfs etc).
Danach schalte ich den Hardwareschreibschutz am DOM ein (Live-System Modus). Diese Systeme starten nun so schnell, wie man es von SSDs gewöhnt ist (1. Vorteil gegenüber Live-Systemen auf USB oder DVD)
Ein System-Update wird dann wie folgt ausgeführt - System herunterfahren - Schreibschutzschalter umlegen- System starten und nun nur das Update wie gewohnt aktivieren- Neustart des Systems wieder mit HW-Schreibschutz. Das wars. (2. Vorteil gegenüber Live-Systemen auf USB bzw DVD). Ein Update ist fast so schnell und komfortabel, wie auf einer SSD ohne Schreibschutz und ein zusätzliches Anwenderwissen ist nicht erforderlich. Dann werden auch eher Sicherheitsupdates eingespielt. Mit HW-Schreibschutz ist ein so schreibgehärtetes Linuxsystem, bis hinunter zum MBR, gegen Manipulation abgesichert.

Diese 3. Alternative von SW schreibgehärteten Linuxsystemen, neben DVD und USB-Live, hatte ich bisher so nicht gesehen. Die Handhabung ist im Normalbetrieb gegenüber VMs unkomplizierter. Daher sehe ich diese Technik, gerade für den durchnittlichen Anwender, als durchaus geeignet an. Wer den Wartungsaufwand von VM,- USB- und DVD-Live Systemen scheut, hat nun eine weitere Alternative zur Auswahl. Es gibt nichts geschenkt. Hier ist halt ein zus. aber wartungsfreier Schalter am PC erforderlich.

Mich würde interessieren, ob jemand diese DOM-SSDs auch so eingesetzt hat?
Erfahrungswerte aus der Praxis etc.

Zitat:

Zitat von vk_s

Im übrigen liegst Du falsch.

Das ist Quatsch. Es gibt keine 100 % Sicherheit.

Zitat:

Zitat von vk_s

Ich habe einen USB-stick so umgebaut, dass der FLASH-Speicher mit 100%tiger Sicherheit nicht mehr umgeschrieben werden kann, wenn der Hardwareschreibschutz aktiviert wurde. Jumper + Widerstand etc. haben ca. 3 Cent gekostet.

Ja und? Damit stellst du sicher, dass nichts im Dateisystem auf der rootpartition verändert werden kann. Aber die laufende OS-Session kann trotzdem kompromittiert werden und wenn ist sie es solange du neu bootest. Wie gesagt, dasselbe hast du bei meinem VM-Szenario mit dem umgeleiteten Schreizugriff oder dem Live-System auch.

Zitat:

Zitat von vk_s

bis hinunter zum MBR, gegen Manipulation abgesichert.

Schon klar. Aber bei meinen normalen Systemen hab ich so noch nichts beobachtet was einfach mal so den MBR manipulieren will. Linux-Malware ist übrigens dünn gesät und man fuchtelt idR auch nicht ständig mit rootrechten irgendwo herum.

Zitat:

Zitat von vk_s

Die Handhabung ist im Normalbetrieb gegenüber VMs unkomplizierter.

Sagma, hast du irgendwie ne VM-Phobie?
Vorher meintest du ne VM sei rel. unsicher und nun komplizierter? Ich kann echt nicht nachvollziehen, was so kompliziert an einer VM sein soll. V.a. wenn es sowas wie VirtualBox ist. Niemand sagt er möge VMWare ESXi oder Citrix XenServer aufsetzen nur weil er mal was in einer VM testen möchte

Zitat:

Zitat von vk_s

Mich würde interessieren, ob jemand diese DOM-SSDs auch so eingesetzt hat?
Erfahrungswerte aus der Praxis etc.

Also ich nicht da ich auch keine Notwendigkeit dafür für mich/uns gesehen habe - dank Virtualisierung (einfachere Backup dank VMs sind auch drin), Live-Systemen und die Möglichkeit der Härtung normal installierter Systeme.