如何在OpenBSD/Linux中禁用Firewire以防止通过Firewire进行攻击？

Question

由于火线缺乏安全性允许插入设备访问主机内存，完全禁用它是一件好事。如果我们没有使用BIOS来禁用Firewire端口，那么我们如何使用“软件方法”呢？在PC上运行的操作系统是OpenBSD、Fedora或Ubuntu。

编辑:在操作系统中禁用Firewire支持足以防止Firewire攻击设备访问内存吗？需要采取哪些步骤来防止这种威胁？

Answer 1

默认情况下，OpenBSD不支持Firewire：

https://en.wikipedia.org/wiki/Comparison_的_打开_来源_操作_systems#Supported_硬件

Answer 2

软件方法：

• 禁用Firewire驱动程序/重新编译内核

禁用火线驱动程序可防止使用任何消防线设备，因为它禁用了消防线硬件控制器。为了使攻击能够工作，存在几个要求:必须加载驱动程序，以便初始化控制器(总线控制等)，必须将其配置为“开放访问”，而不是每个设备，必须启用dma (ohci1394有禁用dma选项)。

在Ubuntu中，火线驱动程序是内核模块。有一种简单的方法可以将它们列入黑名单:打开/etc/modprobe.d/blacklist-firewire.conf，您将在那里找到要被列入黑名单的模块列表。

blacklist ohci1394
blacklist sbp2
blacklist dv1394
blacklist raw1394
blacklist video1394
#blacklist firewire-ohci
#blacklist firewire-sbp2

只需删除所有前面的#并保存它。然后运行sudo update-initramfs -k all -u

其他方法：

• 禁用BIOS中的火线端口
• 密封实际端口，就像在某些环境中对USB端口所做的一样。

Answer 3

编译一个缺少设备支持的自定义内核应该就足够了。是什么阻止您通过权限设置限制对这些设备的访问？

删除驱动程序将防止插入设备建立DMA传输：

• http://blogs.gnome.org/muelli/2010/04/reading-ram-using-firewire/→“必须让操作系统相信它是一个合法的设备，然后才能访问内存”
• http://support.microsoft.com/kb/2516445→DMA是不可能的，除非在CPU上运行代码才能让它发生。