是否可以从 CentOS 或 FreeBSD(无 BIOS)禁用 Dell R310 中的 USB 端口以及 CDRom 和 VGA 输出?
演示服务器正在客户测试实验室中运行,他们只需插入显示器以及 USB 键盘和鼠标即可进入其中,但我不希望这样做。
有没有 CentOS/FreeBSD 的方法来阻止所有 USB 端口和 VGA 输出?并且只保持串行控制台端口/以太网打开来维护和使用?
答案1
我不知道禁用视频的方法,但有几种禁用 USB 的方法。
- 编辑 grub.conf,附加“nousb”,然后重新启动。 (通过)
- 使用黑名单 USB 内核模块CentOS wiki 上的说明。它们是为 USB 存储编写的,您需要修改它们以将 USB 键盘等设备列入黑名单。
如果服务器已在运行,您可以尝试在其运行时删除 USB 模块。您可以通过在 /etc/inittab 中注释掉它们的行来禁用 alt+f1 等上的常用虚拟终端,kill -HUP 1因此没有“明显”的登录方式,但总是需要担心 ssh。
话虽如此,就像吉尔斯所说,这确实无法保护您的系统。任何人都可以将驱动器从您的服务器中取出并从中复制数据(假设它们未加密)。
如果您的目标是阻止人们弄乱它,而不是窃取驱动器上的数据,那么自从您提到您拥有 Dell R310 以来,有几个选择。这些现在可能不适用,因为听起来服务器已经部署了,但将来可能会有所帮助:
- 在 BIOS 上设置密码
- 使用前盖边框禁用对硬盘驱动器、DVD-ROM、前置 USB 端口和前置视频端口的访问。我认为 BIOS 设置可以禁用后置视频和 USB 端口,但在他们的文档中找不到它。从逻辑上讲,维修机器的唯一方法是通过前端口,这需要只有您拥有的钥匙。最坏的情况下,您可能会导致后端口物理上无法操作。
- R310 提供入侵警报。
- R310 可以从内部 USB 密钥。
- R310 在其列表中列出了更多内容手动的关于可能适用的物理安全。
借助 Dell 的 OpenManage,我相信您可以从操作系统更改一些 BIOS 设置(假设您安装了它们)Linux 工具所以你现在也许可以做其中的一些事情。