Comment désactiver FireWire à OpenBSD / Linux pour empêcher les attaques via FireWire?

Question

Depuis Firewire manque de sécurité , permettant à un périphérique branché d'accéder à la mémoire d'accueil, c'est une bonne chose à désactiver complètement. Si nous n'utilisons pas le BIOS pour désactiver le port Firewire, comment pouvons-nous le faire en utilisant des "méthodes logicielles"? L'OS fonctionnant sur le PC est OpenBSD ou Fedora ou Ubuntu.

Edit: Est-il suffisant de désactiver la prise en charge du FireWire dans le système d'exploitation pour empêcher un dispositif d'attaque Firewire d'accéder à la mémoire? Quelles mesures sont nécessaires pour empêcher ce type de menace?

LanceBaynes · Accepted Answer

OpenBSD ne prend pas en charge FireWire par défaut:

https://fr.wikipedia.org/wiki/comparon_of_open_source_operating_systems#supported_hardware

john · Answer

Méthode logicielle:

Désactivez le conducteur Firewire/recompiler le noyau

La désactivation du pilote Firewire empêche l'utilisation d'un périphérique FireWire, car il désactive le contrôleur de matériel Firewire. Pour que les attaques de travailler plusieurs exigences existent: le conducteur doit être chargé de manière à ce que le contrôleur soit initialisé (maîtrisage des bus, etc.), il doit être configuré pour "ouvrir l'accès" et non par périphérique, et DMA doit être activé. (OHCI1394 avait une option DMA désactivée).

Les pilotes FireWire Ubuntu sont des modules de noyau. Il existe un moyen facile de les afficher: Open /etc/modprobe.d/blacklist-firewire.conf, vous y trouverez une liste de modules pour être sur la liste noire.

blacklist ohci1394 blacklist sbp2 blacklist dv1394 blacklist raw1394 blacklist video1394 #blacklist firewire-ohci #blacklist firewire-sbp2

Il suffit de supprimer le # devant tout et sauver-le. Puis courez Sudo update-initramfs -k all -u

Autres méthodes:

Désactiver les ports Firewire dans le BIOS
Scellez les ports réels, comme souvent faites pour les ports USB dans certains environnements.

Jeff Ferland · Answer

La compilation d'un noyau personnalisé qui manque de support de périphérique pour l'interface Firewire devrait suffire. Qu'est-ce qui vous empêche de limiter l'accès à ces périphériques par des paramètres d'autorisations?

Supprimer le pilote empêchera les périphériques branchés d'établir DMA Transferts:

http://blogs.gnome.org/muelli/2010/04/reading-ram-uppant-firewire/ → "doit convaincre OS son appareil légitime avant d'accéder à la mémoire"
http://support.microsoft.com/kb/2516445 → DMA n'est pas possible avant que le code ne soit exécuté sur la CPU pour le laisser se produire.

maurice · Answer

... Vous pouvez également régler l'accès aux périphériques utilisant/etc/fbbab

http://www.openbsd.org/cgi-bin/man.cgi?query=fbttab&sektion=5&apropos=0&manpath=OPENBSD+Current&arch=i386

basé sur une connexion via Firewire/USB/autres ports, tout peut être désactivé