我正在进行安全审核,发现这个实用程序在我的 Debian 系统上运行。 (Debian 3.16.36-1+deb8u1)
我突然意识到,像这样的软件不应该安装在安全服务器上。我不知道当它找到任何已安装的操作系统时它会做什么。我应该禁用 os-prober,该怎么做?或者我应该禁用 grub,我该怎么做?
答案1
os-prober
是否可以检测其他操作系统。如果您不需要该功能,可以禁用它;在测试中遇到一些问题后,我在所有 Debian 虚拟机中都这样做了。
您添加到/etc/default/grub
该行:
GRUB_DISABLE_OS_PROBER=true
然后,命令dpkg-reconfigure
linux-image-xxxxxupdate-grub
将不再使用os-prober
.
另一种选择是卸载os-prober
.
dpkg --purge os-prober
作为斯蒂芬·基特指出,“该软件包本身只是推荐(由grub 通用),因此包管理器将允许您删除它。”
或者只是为了安全起见,为了不再使用它,请执行这两个操作。
由此关联
os-prober 是 debian-installer 的衍生产品。安装程序的功能之一是它可以探测系统上其他操作系统的磁盘,并将它们添加到引导加载程序中,这样安装 Debian 就不会导致其他已安装的操作系统难以引导。
看Debian:升级内核(至 4.9)时出现新错误消息 - 重新加载 ioctl 错误
总结一下:对于linux服务器禁用os-prober是个好主意;此外,它也有利于 Unix 的(安全)理念,即保持简单并安装较少数量的服务/软件。
虽然理论上您也可以不使用 grub,但我不会用它提供的标准方式、便利性、启动灵活性以及调试功能来换取其他场景。看利洛/埃利洛;和u 启动工具作为替代方案,至少在某些架构中。
至于grub的安全性,我更担心的是添加密码到它。
答案2
os-prober
用于GRUB
配置 GRUB 启动选项,例如菜单节。
EFI STUB
如果您使用、coreboot
或其他一些非 GRUB 机制(有很多!) 引导系统,您当然可以禁用/删除 GRUB 和 os-prober。
如果您使用 GRUB(这是默认引导机制)引导系统,请勿禁用/删除与 GRUB 相关的任何内容,包括 os-prober,否则您最终可能无法引导到多操作系统平台上的其他操作系统。