这在某种程度上与物理安全漏洞有关。
假设一台 Linux 服务器运行着所有防火墙和其他安全组件。但是,如果有人物理访问了该服务器,他可以简单地清除机器中现有的 Linux(使用 OS CD/DVD 格式化系统或在该位置安装新 OS)。
可以通过妥善保护服务器来防止这种情况发生。但是我的问题是,Linux 能否作为一个软件,防止此类事情发生?例如,我通常希望一些参数(由管理员设置)可防止操作系统更换。为了真正更换操作系统,管理员必须取消设置范围。
编辑
根据 @David Schwartz 的评论,关于环境的简要描述:
- 这可不像战争时期有人拿着锤子、锯子和其他危险工具行动 :)
- 该机器无法进行物理替换
- 机器的底盘可以打开,所有这些事情都可以完成——但这种可能性也较小
我所说的环境是指某人在短时间内意外地接近机器并试图清除操作系统。是的,那里有 CD/DVD ROM。
此外,我并不关心是否有备份,也不关心那个人是否能读到我的内容。我唯一担心的是他可能会中断我的服务。
结语
感谢大家的回答(和幽默)。目的是想知道这种机制是否存在,或者是否可以可能存在。我认为答案是否定的。不确定这是否会成为未来的研究问题。
答案1
您可以修改 BIOS 配置,将启动顺序设置为仅 HDD,使用密码保护 BIOS(但攻击者可以通过更换 BIOS 电池来重置它),并且在 Linux 中,您可以使用密码保护 GRUB。但每次重新启动系统时,您都必须输入密码(如果您有 KVM over IP,这是可能的)。
但事实是,如果有人可以物理访问您的计算机,他们可以使用锤子、C4、电锯等来破坏您的数据和计算机。即使您使用 BIOS 密码保护它,他们也可以更换硬盘。
总之,如果有人能够物理访问一台机器,他们就可以用它做任何想做的事情。
答案2
如果有人可以物理访问您的计算机,那么他们就可以为所欲为,而您在操作系统层面所做的任何事情都无法阻止他们。主要原因是他们可以简单地绕过您的操作系统并从可启动设备启动自己的系统。
答案3
首先,您能确保坏人无法物理访问计算机吗?如果不能,请移除 CD ROM,设置计算机从主硬盘启动,禁用 USB 端口(当然是在 BIOS 级别),并设置 BIOS 密码。但是,坏人仍然可以打开机箱(如果您没有保护好它)并取出 BIOS 电池以重置任何 BIOS 密码,从 USB 闪存启动等等……
毕竟,如果坏人更换了操作系统,那又有什么问题呢?这并不意味着如果磁盘已加密,他就可以访问计算机上存储的资源。而且您确实有备份,对吧?
无论如何,这是您的答案:
以及加密和备份。
答案4
为了更换操作系统,需要访问 1) 现有操作系统、2) 机器启动机制或 3) 大量时间使用物理机器。我将超越第 3 条,因为在这种情况下,我们可以说这是无法缓解的,即如果我有足够的时间使用物理机器,我也可以切断链条,换掉机器本身,然后就完事了。
对于 #1:良好的(密码)习惯将阻止此类访问。如果机器也“正确”配置,那么任何人获得 root 访问权限的可能性都非常小(这里的“正确”是指您自己的环境/设置,因为每台机器都取决于您的环境和功能 - 从强密码到操作系统配置)。
对于#2:服务器类机器(不仅)具有防止入侵者访问机器启动序列的机制(通常是启动密码和其他启动相关的预防机制)。