os-prober 存在安全风险吗?

os-prober 存在安全风险吗?

我正在进行安全审核,发现这个实用程序在我的 Debian 系统上运行。 (Debian 3.16.36-1+deb8u1)

我突然意识到,像这样的软件不应该安装在安全服务器上。我不知道当它找到任何已安装的操作系统时它会做什么。我应该禁用 os-prober,该怎么做?或者我应该禁用 grub,我该怎么做?

答案1

os-prober是否可以检测其他操作系统。如果您不需要该功能,可以禁用它;在测试中遇到一些问题后,我在所有 Debian 虚拟机中都这样做了。

您添加到/etc/default/grub该行:

GRUB_DISABLE_OS_PROBER=true

然后,命令dpkg-reconfigurelinux-image-xxxxxupdate-grub将不再使用os-prober.

另一种选择是卸载os-prober.

dpkg --purge os-prober

作为斯蒂芬·基特指出,“该软件包本身只是推荐(由grub 通用),因此包管理器将允许您删除它。”

或者只是为了安全起见,为了不再使用它,请执行这两个操作。

由此关联

os-prober 是 debian-installer 的衍生产品。安装程序的功能之一是它可以探测系统上其他操作系统的磁盘,并将它们添加到引导加载程序中,这样安装 Debian 就不会导致其他已安装的操作系统难以引导。

Debian:升级内核(至 4.9)时出现新错误消息 - 重新加载 ioctl 错误

总结一下:对于linux服务器禁用os-prober是个好主意;此外,它也有利于 Unix 的(安全)理念,即保持简单并安装较少数量的服务/软件。

虽然理论上您也可以不使用 grub,但我不会用它提供的标准方式、便利性、启动灵活性以及调试功能来换取其他场景。看利洛/埃利洛;和u 启动工具作为替代方案,至少在某些架构中。

至于grub的安全性,我更担心的是添加密码到它。

答案2

os-prober用于GRUB配置 GRUB 启动选项,例如菜单节。

EFI STUB如果您使用、coreboot或其他一些非 GRUB 机制(有很多!) 引导系统,您当然可以禁用/删除 GRUB 和 os-prober。

如果您使用 GRUB(这是默认引导机制)引导系统,请勿禁用/删除与 GRUB 相关的任何内容,包括 os-prober,否则您最终可能无法引导到多操作系统平台上的其他操作系统。

相关内容