我试图想出一种方法来保护暴露于物理访问的 Linux 服务器。我的特定平台是 PC Engines 品牌alix2d13主板上的小型 Linux 服务器。小尺寸存在被攻击者从场所移除的额外风险。
假设有对服务器的物理访问:
1) ROOT-PASSWORD:您将控制台电缆连接到服务器,您会收到输入密码的提示。如果您不知道密码,您可以在单用户模式下重新启动机器并重置密码。瞧,您获得了 root 访问权限。
为了确保上述安全,您在GRUB菜单上插入密码,因此当服务器重新启动以进入单用户模式时,您必须提供 GRUB 密码。
2) GRUB_PASSWORD。如果您关闭机器,取出硬盘并将其安装在另一个工作站上,您将能够浏览/boot包含 grub.cfg 文件的目录,您可以在其中找到 GRUB 密码。您可以更改 GRUB 密码或将其删除。
显然,当我们谈论大型生产机器时,很可能不会有任何物理访问,除此之外,即使有人物理访问服务器,他也不会关闭它。
防止物理上容易窃取的服务器上的数据窃取的可能解决方案是什么?
在我看来,可以获得对所包含数据的一种或另一种访问方式。
从 Java 7 update 51 (7u51) 开始,需要一个新的 Permissions 属性(在 7u25 中引入),以防止 FileMaker Server 12 Admin Console 运行。这也会影响 11、10 和 9 版管理控制台以及其他使用 Java 的 FileMaker 产品。
在收到应用程序将被 Java 的未来版本阻止的警告后,您会收到一个通用的“应用程序错误”,声明 Java 是“无法启动应用程序。”。深入研究细节将得出以下确切原因:
Missing required Permissions manifest attribute in main jar: http://fm-server:16000/admin-client-lib/admin-console-client.jar。
目前 FMS 12 已更新到最新版本,FileMaker, Inc. 尚未将 Permissions 属性添加到管理控制台 jar 中。