Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 2 章 安装的安全提示

安全从您第一次将 CD 或者 DVD 放入您的磁盘驱动器时开始,以安装 Red Hat Enterprise Linux 7。从一开始就安全地配置系统可以使以后更容易实施其他安全设置。

2.1. 保护 BIOS

对 BIOS(或与 BIOS 等效的)和引导加载程序的密码保护可防止具有系统物理访问权限的未授权用户使用可移动介质引导,或通过单用户模式获得 root 权限。您为防止此类攻击而需要采取的安全措施取决于工作站中信息的敏感程度和机器的位置。
例如,如果机器是在交易展示中使用并且不包含敏感信息,那么防止此类攻击可能并不重要。但是,如果员工使用私有的、未加密的 SSH 密钥进行公司网络的笔记本电脑,则在同一交易显示下以无人值守方式处理,则可能导致整个公司的严重安全漏洞。
但是,如果工作站位于只有授权的或可信任的人员才有权访问的地方,则可能不需要保护 BIOS 或引导加载程序。

2.1.1. BIOS 密码

密码保护计算机 BIOS 的两个主要原因是[2]:
  1. 防止对 BIOS 设置的更改 - 如果入侵者可以访问 BIOS,他们可以将其设置为从 CD-ROM 或闪存驱动器引导。这使得他们能够进入救援模式或单用户模式,从而使他们可以在系统上启动任意进程或复制敏感数据。
  2. 防止系统引导 - 一些 BIOS 允许对引导过程进行密码保护。激活后,攻击者必须在 BIOS 启动引导加载程序前输入密码。
由于设置 BIOS 密码的方法因计算机制造商而异,因此请查阅计算机手册以了解具体说明。
如果您忘记 BIOS 密码,可以通过主板上的跳线来重置,也可以通过断开 CMOS 电池来重置。因此,如果可能的话,最好锁好计算机机箱。但是,在尝试断开 CMOS 电池之前,请查阅计算机或主板的手册。

2.1.1.1. 保护基于非 BIOS 的系统

其他系统和架构使用不同的程序来执行大致相当于 x86 系统上 BIOS 的低级别任务。例如,统一可扩展固件接口 (UEFI)shell。
有关密码保护类似 BIOS 程序的步骤,请查看制造商的说明。


[2] 由于不同厂家的系统 BIOS 不同,一些可能任何一种类型的密码保护都不支持,另一些则可能支持其中一种类型,但不支持另一种类型。