如何配置我的 linux 系统以防止 DMA 攻击?有没有办法让它们变得不可能?
摘自维基百科
在现代操作系统中,非系统(即用户模式)应用程序被禁止访问任何未经虚拟内存控制器(称为 MMU 或内存映射单元)明确授权的内存位置。除了包含无意的软件错误造成的损害并允许更有效地使用物理内存之外,这种架构还构成了现代操作系统安全性的一个组成部分。然而,内核模式驱动程序、许多硬件设备和偶尔的用户模式漏洞允许直接、不受阻碍地访问物理内存地址空间。物理地址空间包括所有主系统内存,以及内存映射总线和硬件设备(它们由操作系统通过读写控制,就像普通 RAM 一样)。
简而言之,不完全可能阻止潜在的攻击媒介。查看维基百科文章,您必须了解基本上有 4 条途径:
减轻您的风险(这是您在保护某些东西时所能做的)的最佳方法是控制您对上述 4 件事的风险敞口。
停止 1,不要给任何人加载内核驱动程序的能力。此外,也不要安装任何不需要的驱动程序。
停止 2,拒绝人们对系统的物理访问。使用安全的数据中心,该中心仅对计算机的核心操作员具有有限的物理访问权限。
停止 3,不要让用户能够运行比绝对需要更多的应用程序。这超出了运行范围,不要安装超出要求的任何东西。例如,如果它是生产服务器,则不要gcc在其上安装。
停止 4,培训支持人员检测骗局。
另外一项是确保及时安装和审查更新。例如,不要一年更新一次系统。
| 归档时间: |
|
| 查看次数: |
1416 次 |
| 最近记录: |