Empêcher le rlocation de linux

Ceci est un peu lié à la violation de la security physique.

Considérons un server Linux avec tout le pare-feu et d'autres éléments de security qui s'y déroulent. Cependant, si quelqu'un obtient un access physique au server, il pourrait simplement effacer le Linux existant dans la machine (formater le système avec un CD / DVD OS ou installer un nouveau operating system dans cet endroit).

Une telle chose pourrait être évitée en sécurisant bien la machine server. Cependant, ma question est que Linux pourrait, en tant que logiciel , empêcher de telles choses? Par exemple, j'aimerais généralement avoir un paramètre (défini par admin) qui empêcherait le rlocation du operating system. Pour replace réellement le operating system, l'administrateur doit désactiver ce paramètre .

modifier

Selon le commentaire de @David Schwartz, une brève description de l'environnement:

  • Ce n'est pas une situation de guerre où quelqu'un se déplace avec des marteaux, des scies et d'autres outils dangereux 🙂
  • La machine ne peut être remplacée physiquement
  • Le châssis de la machine pourrait être ouvert et toutes ces choses sont faites – mais cela est également less probable

On parle de l'environnement lorsque quelqu'un arrive accidentellement à la proximité physique de la machine pour une courte durée et tente d'effacer le operating system. Oui, il y a un CD / DVD.

De plus, je ne me préoccupe pas de la sauvegarde, ou si ce type pouvait lire mon contenu. La seule chose que je crains, c'est qu'il pourrait potentiellement interrompre mon service.

Remarques finales

Merci pour toutes les réponses (et humours). L'objective était de savoir si un tel mécanisme existe ou pourrait exister. Je prends la réponse comme négative. Je ne sais pas si cela pourrait être un problème de search à l'avenir.

5 Solutions collect form web for “Empêcher le rlocation de linux”

Vous pouvez modifier la configuration du BIOS, définir l'ordre de démarrage sur un seul disque dur, sécuriser le BIOS avec un mot de passe (mais un attaquant peut le réinitialiser en remplaçant la batterie du BIOS) et, sous Linux, vous pouvez sécuriser GRUB avec un mot de passe. Mais vous devrez entrer le mot de passe chaque fois que vous redémarrez votre système (si vous avez KVM sur IP, cela est possible).

Mais la vérité est que si quelqu'un a un access physique à votre machine, ils peuvent utiliser un marteau, C4, une tronçonneuse, etc. … pour détruire vos données et votre ordinateur. Même si vous le sécurisez avec un mot de passe BIOS, ils peuvent replace le disque dur.

En conclusion, si quelqu'un a un access physique à une machine, ils peuvent faire tout ce qu'ils veulent avec lui.

Si quelqu'un a un access physique à votre machine, ils peuvent faire ce qu'ils veulent et rien que vous pouvez faire au niveau OS peut les arrêter. La raison principale est qu'ils peuvent simplement contourner votre operating system et démarrer leurs propres à partir d'un périphérique de démarrage.

Tout d'abord, pouvez-vous vous assurer que le méchant n'a pas access physiquement à l'ordinateur? Si non, supprimez le CD-ROM, configurez-le pour que l'ordinateur démarre à partir du disque dur principal, désactivez les ports USB (au niveau du BIOS ofcourse) et définissez le mot de passe du BIOS. Mais alors, le méchant pourrait toujours ouvrir le boîtier (si vous ne le protégez pas) et retirer la batterie du BIOS pour réinitialiser tout mot de passe du BIOS, démarrer à partir du flash usb et …

Après tout, quel est le problème si le méchant remplace le operating system? Cela ne signifie pas qu'il peut accéder aux ressources stockées sur l'ordinateur si le disque est crypté. Et vous avez des sauvegardes, n'est-ce pas?

Quoi qu'il en soit, voici votre réponse: Grande clé ancienne Avec le encryption et les sauvegardes.

Un mot de note d'abord: Loi n ° 3 de Sécurité informatique : If a bad guy has unressortingcted physical access to your computer, it's not your computer anymore.

Pour aider à réduire les chances d'un installateur de operating system désintéressé, il y a quelques choses que vous pouvez faire avec un server Linux à la fois la security phyiscale et la security du logiciel:

  • Verrouillez le rack du server, sécurisez la key unique
  • Désactiver les options de démarrage USB, CD, PXE et "Autre disque dur" dans le BIOS
  • Définissez un mot de passe d'access BIOS sécurisé
  • Définissez un mot de passe Grub pour modifier, désactiver la récupération et le mode mono-user
  • Utilisez des passwords root et user puissants
  • Utilisez AppArmour ou SELinux pour protéger l'espace kernel et le système de files
  • Comprendre la loi n ° 3. Prévoyez que ce ne soit pas sous votre contrôle.

Pour replace le operating system, il est nécessaire d'accéder soit à 1) le operating system existant, 2) le mécanisme de démarrage de la machine ou 3) beaucoup de time avec la machine physique. Je dépasserai le n ° 3 puisque, dans ce cas, nous pourrions dire que cela ne peut pas être atténué, c'est-à-dire si j'ai beaucoup de time avec une machine physique, je pourrais aussi bien couper les strings, échanger la machine elle-même et finir avec elle.

Pour # 1: Les bonnes pratiques (mot de passe) empêcheront ce type d'access. Si la machine est également "correctement" configurée alors la probabilité de quiconque reçoit un access root est très mince ("correctement" ici se réfère à votre propre environnement / configuration car chaque machine dépend de votre environnement et de vos fonctionnalités – des passwords puissants à la configuration OS).

Pour # 2: Les machines de class de server (non seulement) ont des mécanismes pour empêcher un intrus d'accéder à la séquence d'amorçage de la machine (habituellement le mot de passe d'amorçage et d'autres mécanismes de prévention liés au démarrage).

  • MariaDB est-il un rlocation sécurisé pour MySQL?
  • Windows Server 2003 force le client RDP à être RDP 6
  • Les touches SSH ont cessé de fonctionner, d'autres curiosités - J'ai été piraté?
  • Afficher les échecs récents de connection lors de la connection
  • SFTP / SCP lorsque la destination finale est un partage de files mappé. Est-ce sécurisé pour tout le transfert de fin à fin?
  • Si j'ai une version du kernel, puis-je get une list des CVE auxquels il est vulnérable?
  • Comment la fonction mutt shell-escape est-elle désactivée?
  • Comment utiliser les secrets de docker sans cluster d'essaim?
  • apache httpd continue d'envoyer des requêtes HTTP à des IP étranges
  • Comment puis-je effectuer des actions racines à partir d'un count non root?
  • Y at-il un inconvénient à imposer un SSL à 128 bits pour un site web
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.