我目前正在使用 Debian 安装来安装 DIY 路由器。出于安全考虑,我想知道如何切换到非持久性安装,以防御针对系统的攻击(BIOS 攻击不在范围内)后获得的任何持久性。
我正在考虑使用预配置的实时 USB。我有持久存储(以 USB 的形式)来存储规则、配置等。但是,当然,由于核心系统是只读的,我不会收到重要的安全更新,因此攻击者只会能够继续利用该系统而不是获得持久性。
我希望保持它的低维护性 - 我不想每次都必须检查任何内容中是否存在 CVE 并“重新编译”我的实时 USB。
一种可能是从单独的系统进行 PXE 启动,该系统会自动更新实时操作系统和软件包,但先有鸡还是先有蛋,因为如果路由器离线,它就无法更新。
想知道是否有人有任何想法?谢谢