防止linux被替换
Bar*_*run 5 security linux permissions
这在某种程度上与物理安全漏洞有关。
考虑在其中运行所有防火墙和其他安全内容的 Linux 服务器。但是,如果有人物理访问服务器,他可以简单地清除机器中现有的 Linux(使用操作系统 CD/DVD 格式化系统或在该位置安装新操作系统)。
可以通过很好地保护服务器机器来防止这种情况。但是,我的问题是,Linux作为一种软件,可以防止此类事情发生吗?例如,我通常希望有一些参数(由管理员设置)来阻止操作系统替换。为了实际替换操作系统,管理员必须取消设置该参数。
编辑
根据@David Schwartz 的评论,对环境的简要说明:
- 当有人拿着锤子、锯子和其他危险工具移动时,这不是一种类似战争的情况:)
- 无法物理更换机器
- 机器的底盘可以打开,所有这些事情都可以完成——但这也不太可能
我所谈论的环境是当有人不小心在短时间内进入机器的物理位置并试图清除操作系统时。是的,有 CD/DVD ROM。
此外,我不关心是否有备份,或者那个人是否可以阅读我的内容。我唯一担心的是他可能会中断我的服务。
结语
感谢所有的答案(和幽默)。目的是了解这种机制是否存在或可能存在。我认为答案是否定的。不确定这是否会成为未来的研究问题。
B14*_*4D3 15
您可以修改 BIOS 配置,将引导顺序设置为仅 HDD,使用密码保护 BIOS(但攻击者可以通过更换 BIOS 电池来重置它),并且在 Linux 中您可以使用密码保护 GRUB。但是您每次重新启动系统时都必须输入密码(如果您有 KVM over IP,这是可能的)。
但事实是,如果有人可以物理访问您的机器,他们可以使用锤子、C4、电锯等……来破坏您的数据和计算机。即使您使用 BIOS 密码保护它,他们也可以更换硬盘。
总之,如果有人可以物理访问一台机器,他们就可以用它做任何他们想做的事情。
- 关键是,无论您采取何种措施,未经授权的人的物理访问都胜过一切。 (11认同)
如果有人可以物理访问您的机器,那么他们可以做他们想做的事情,而您在操作系统级别所做的任何事情都无法阻止他们。主要原因是他们可以简单地绕过您的操作系统并从可启动设备启动自己的操作系统。
- 同意 - 在这一点上,您唯一能做的就是控制损坏,这就是加密的用途。 (2认同)
首先,你能确保坏人没有获得对计算机的物理访问吗?如果没有,请移除CD ROM,设置计算机从主硬盘启动,禁用USB端口(当然在BIOS级别),并设置BIOS密码。但是,坏人仍然可以打开机箱(如果您不保护它)并取出 BIOS 电池以重置任何 BIOS 密码,从 USB 闪存启动并...
毕竟,如果坏人更换操作系统有什么问题?如果磁盘被加密,这并不意味着他可以访问存储在计算机上的资源。你有备份,是吗?
无论如何,这是你的答案:
随着加密和备份。
首先要注意的是:
计算机安全的第 3 条法则:If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
为了帮助减少随意安装操作系统的机会,您可以对 Linux 服务器进行一些物理安全和软件安全方面的操作:
- 锁定服务器机架,固定单把钥匙
- 在 BIOS 中禁用 USB、CD、PXE 和“其他硬盘”引导选项
- 设置安全的 BIOS 访问密码
- 设置 Grub 密码以进行编辑、禁用恢复和单用户模式
- 使用强 root 和用户密码
- 使用 AppArmour 或 SELinux 来保护内核空间和文件系统
- 了解第 3 条法则。计划这不在您的控制范围内。