第 2 章 安装的安全提示

当您第一次将 CD 或者 DVD 放入磁盘驱动器安装 Red Hat Enterprise Linux 7 时就由安全性问题。开始就安全配置您的系统可让您今后实施额外的安全性设置变得更轻松。

2.1. 安全 BIOS

使用密码保护 BIOS(或者与 BIOS 对等的程序)以及引导装载程序可防止未授权用户使用可移动介质,或者通过单用户模式获取 root 特权引导机器而获得对该系统的物理访问。您应该采用的防止此类攻击的安全工具,取决于该工作站中的信息敏感性以及机器的位置。
例如:如果是在贸易展览中使用,且不包含任何敏感信息,那么防止此类攻击就不那么重要。但是如果在同一贸易展览中,某雇员的笔记本电脑中有该企业网络的专用未加密的 SSH 密钥,且没有小心保管,那么就可能导致严重的安全泄漏,并为整个公司造成无法预料的损失。
如果该工作站位于授权或者可信用户可以访问的位置,那么保障 BIOS 或者引导装载程序安全就不那么紧要。

2.1.1. BIOS 密码

使用密码保护计算机的 BIOS 主要有两个原因[2]
  1. 防止更改 BIOS 设置 — 如果某个入侵者可访问该 BIOS,他们就可以将其设定为从磁盘或者光盘引导。这就让他们可以进入安全模式或者单用户模式,继而让他们可以在该系统中启动随机进程或者复制敏感数据。
  2. 防止系统引导 — 有些 BIOS 允许引导过程中的密码保护。当激活 BIOS 时,攻击者会在 BIOS 启动引导装载程序前被迫输入密码。
因为不同计算机生产商提供的设置 BIOS 的方法不同,具体步骤请查询计算机手册。
如果您忘记了 BIOS 密码,您可以使用主板中的跳线或者断开 CMOS 电池连接重新设置该密码。因此,请尽可能锁上您的机箱。但是在尝试断开 CMOS 电池前请查看计算机或者主板手册。

2.1.1.1. 保证非 x86 平台安全

其它构架使用不同的程序执行那些与 x86 系统中 BIOS 基本对等的低层任务。例如:Intel® Itanium™ 计算机使用可扩展固件接口EFI)shell。
有关在其它构架中使用密码保护类似 BIOS 程序的使用说明,请参考生产商的解释说明。


[2] 因为不同制造商提供的系统, BIOS 会有所不同,有些可能不支持任何类型的密码保护,而其它可能支持某种类型,但不支持其它类型。