如何防止双启动操作系统相互损坏?

tag-icon tag-icon security multi-boot
如何防止双启动操作系统相互损坏?

为了提高游戏兼容性和性能,我正在考虑在 Linux 之外再安装 Windows。不过,我对此有安全方面的顾虑。

注意:下文中的“Windows”不仅包括操作系统,还包括在其上运行的任何软件。无论它是随附的还是额外安装的,无论是有意还是无意启动的(病毒、恶意软件)。

有没有简单的方法来实现以下要求:

  • Windows 一定不能杀死我的 Linux 分区或数据磁盘
    • 既不是单个文件(病毒感染),也不是覆盖整个磁盘
  • Windows 一定不能读取数据磁盘(-> 对间谍软件的额外保护)
  • Linux 可能有权访问 Windows 分区,也可能无权访问
  • Linux 和 Windows 都应该能够完全访问显卡
    • 这排除了桌面虚拟机解决方案
    • 对于游戏,我想要制造商的 Windows 显卡驱动程序

关于 Windows 无法销毁我的 Linux 安装:这不仅仅是常见的偏执,过去我也遇到过这种情况。因此,我不接受“没有 ext4 驱动程序”作为论据。一朝被蛇咬,十年怕井绳。即使针对特定(Linux)文件的销毁几乎不可能,也不应有办法粉碎整个分区。不过,我可能会接受恶意软件突破整个 Windows 框周围的屏障(例如 VM)的风险。

目前我有一个系统磁盘 (SSD) 和一个数据磁盘 (HDD),都是 SATA。我预计我必须添加另一个磁盘。如果我不这样做:那就更好了。我的 CPU 是 Intel Core i5,有 VT-x 和 VT-d,但未经测试。

我目前的想法是:

  • 停用或隐藏其他 HD,直到低级别重启
    • 可能吗?引导加载程序 (grub) 能帮我做这个吗?
  • 微型虚拟机层:在虚拟机中加载窗口,可访问除硬盘之外的几乎所有硬件
    • 有没有现成的软件可以解决这个问题?最好是免费的。
    • 正如我所说:主要问题似乎是提供对显卡的完全访问权限
  • 硬件开关切断磁盘电源
    • 商业产品价格昂贵,并且有很多警告不要使用廉价的自制解决方案
    • 最好所有三个硬盘都用一个开关(一键)
  • 移动式架子——每天更换的磨损不会成为问题吗?

答案1

在点赞了kotekzot的答案和jet的评论后,最终的解决方案是:购买一个普通的前架。抱歉,由于禁止购物推荐,我不会向您推荐特定品牌。

只需将系统磁盘安装在机架中,并在必要时进行交换即可。由于这些东西很便宜,您应该考虑购买两个双机架,因为每种型号都要求您将磁盘安装在其独特的可随时提取的外壳中。因此,如果您有一个机架和两个外壳,您可以随时交换磁盘。显然要注意,如果您的桌面上安装了任何其他磁盘,则操作系统可以完全访问(超级用户原则)。

为了以即使被有史以来最严重的恶意软件感染后也无法访问 Linux 分区的方式运行 Windows,另一种方法是进行虚拟化,但显然您无法直接访问视频卡和游戏性能。

答案2

我遇到了几乎相同的问题(Hackintosh + Windows)。我找到的解决方案是安装另一个磁盘控制器。这些可能很便宜(30 美元),也可能很昂贵(PCIe 总线上的真正 RAID / SAS 卡)。

切中要点:

  1. 将 Windows 安装在其自己的磁盘上。主板 SATA 端口非常适合此操作。(保持另一个控制器插入。)
  2. 安装 Windows 后,禁用(或不安装)控制器的驱动程序。更好的方法是:两者兼而有之。如果 Windows 内核无法访问控制器,它将无法访问其中的驱动器。这比在 Windows 中禁用磁盘要安全得多。
  3. 删除 Windows 磁盘。(防止在安装其他操作系统时意外删除。)
  4. 在控制器上的磁盘上安装其他操作系统(Linux 或其他)。由于 *nix 系统不会自行破坏其他文件系统/磁盘,因此无需在此处执行任何操作。
  5. 将 Windows 磁盘重新插入(与您将其取出的主板端口相同)。
  6. 将 Grub 配置为双启动。

在这种配置中,您可以从 *nix 系统访问 Windows 安装,但 Windows 无法访问控制器上的任何内容。

就这些了。

答案3

内核将始终拥有对磁盘控制器的原始访问权限,因此可以访问磁盘。
因此可以通过破坏分区来损坏其他操作系统。
虽然 BIOS 中的某些禁用功能可能会隐藏磁盘,使操作系统无法看到(这在旧的 ATA 控制器上是可能的,但我怀疑在 SATA 上是否可行)。

所以简短的回答是“不”,这不可能达到你想要的水平。

答案4

禁用设备本身,我认为许多病毒都不会想到有人禁用了其中一个驱动器。
卸载设备、隐藏分区,所有这些似乎都是系统上的可行选项,直到病毒制造者得知这是要做的事情,然后他们才会安排调整他们的垃圾软件。

“推车”将驱动器装入托架外壳中,其中一些上的连接很坚固,在实际驱动器上连接和断开 SATA(一遍又一遍),不会那么坚固,但大多数推车系统的重新连接是在框架和推车之间完成的,这些部件的更换比驱动器便宜。

我尝试过 PATA 的断电方法,但效果并不好,我还没有尝试过 SATA,但它让我回想起驱动器断电时整个系统崩溃的场景。而且,如果只移除 12V(电机电源),系统仍然会看到 HD 控制器板,并且在启动或运行期间会死机。需要再试一次。

安全和保护?因为病毒即使拥有所有安全和保护措施也能做事,所以所需的“类型”应该是一些奇怪的、较少使用的东西,而不是常见的系统保护方法,这些方法都是已知的。用户手动完成的任何事情都可能比已知的安全性更安全。

在断开主要和重要数据驱动器的连接后,仍会留下牺牲系统驱动器和 MBR 的映像备份,以便可以将其恢复到以前的状态。随着内容的添加,会有一些图像,因为病毒类型需要时间,会偷偷地隐藏几天,所以不会被注意到。将这些备份映像放在已删除的驱动器上,或传递到另一台计算机(甚至是云)。

相关内容