除了标准安全“最佳实践”之外,例如拥有良好的防火墙、强大的管理员密码、确保最新的安全补丁以及提高路由器安全性,还有什么更具体的方法可以帮助防止(特别是)通过 Ubuntu 的 BIOS 根工具包?
答案1
安装来自未知来源的软件时要小心。
通过查看此项目,您可能会获得更多的安全想法:
https://en.wikipedia.org/wiki/Qubes_OS
该项目由安全专家开发。
其理念是隔离工作、家庭、娱乐等。
您可以使用 Virtualbox、KVM、Qemu 客户端来宾安装来“播放”,自己使用这种隔离理念,从而与真正重要的事情进行隔离。
你有亨特已安装?这是一个 rootkit 检测程序。您可以安装并运行
sudo dpkg-reconfigure rkhunter
调整设置以符合您的喜好。您还可以安装chkroot工具包,但 chkrootkit 可能会给你更多的错误警报(取决于你将安装或运行哪些其他程序。如果可以找出导致错误警报的原因,那就没问题)。
http://packages.ubuntu.com/search?keywords=rkhunter
https://en.wikipedia.org/wiki/Rkhunter
此外您还可以安装莱尼斯对您的计算机执行安全检查。
答案2
据我所知,没有观察到BIOS到目前为止,在野外发现的 rootkit 恶意软件只有其他类型的 rootkit。因此,从这个方面来看,你的问题目前听起来非常具有假设性,但我还是会满足你的要求。
您列出的所有内容都是针对所有类型恶意软件的一般安全建议。
如果你正在寻找防御具体来说那么你最好的选择是安全启动这有助于防止将未签名的引导加载程序和内核模块注入引导过程。这假设 BIOS rootkit 设法将自身放入系统固件中,但无法禁用或绕过安全启动。如果恶意软件以 UEFI 模块的形式出现,并且不会修改核心 UEFI 固件的行为,则可能会发生这种情况。
除此之外,不要在受信任的环境中运行不可信的软件 - 尤其是以超级用户身份或在内核中运行 - 并且不要让不可信的人物理访问您的机器,以免受信任的环境本身变得不可信。
答案3
不,您已经覆盖了所有基础。
只要您理解并遵循基本的安全协议(正如您在帖子中所讨论的)并防止未经授权的人使用您的机器,您就没有什么可以做的来防止 rootkit 或类似的东西了。
在一个维护良好且设计合理的系统中,最常见的切入点是使用零日漏洞或已披露但尚未修复的漏洞,但这些漏洞大多是不可避免的。
另一个可能有用的建议是避免创建不必要的攻击面。如果您不需要安装某些东西,请将其删除,以防止它被用来对付您。PPA 和类似产品也是如此。此外,它有助于清理您的机器并使其更易于管理。
否则,请安装并使用rkhunter
类似的防御策略,然后继续做您通常做的事情。Linux 的权限隔离本质上是安全的,因此除非您做了违反这一点的事情(例如使用 运行所有可以运行的东西sudo
)、任意运行可执行文件、使用未知/不受信任的 PPA,否则您应该没问题。
至于具体如何避免 BIOS 根工具包,请检查您的 BIOS 是否有“签名验证”模式或类似模式。这种模式将阻止您的 BIOS 更新,除非它检测到有效的加密签名,而这种签名通常只存在于制造商提供的合法更新中。
答案4
如果您在英特尔 vPro CPU(英特尔酷睿 i3、i5、i7 等)上使用有线以太网,您可能不知道“英特尔管理引擎” - 连接到硬件以太网端口的独立 CPU 和处理环境。
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology
该子系统能够:
- “通过 LAN 串行 (SOL) 进行控制台重定向,远程重定向系统的 I/O。此功能支持远程故障排除、远程修复、软件升级和类似过程。”
- “远程访问和更改 BIOS 设置。即使 PC 电源关闭、操作系统关闭或硬件发生故障,此功能仍可用。此功能旨在允许远程更新和更正配置设置。此功能支持完整的 BIOS 更新,而不仅仅是更改特定设置。”
这似乎让物理以太网实质上获得了对设备的物理访问权限。如果您担心,也许可以将设备从以太网上拔下。
虽然我可以看到这一切在企业环境中的一些用处,但像这样的子系统可能会存在一些问题......谷歌“英特尔管理引擎漏洞”,你会发现很多链接。