第 1 章 在安装过程中保护 RHEL

安全性甚至在您开始安装 Red Hat Enterprise Linux 之前就已经开始了。从一开始就安全地配置系统可以使以后更容易实施其他安全设置。

1.1. BIOS 和 UEFI 安全

对 BIOS(或与 BIOS 等效的)和引导加载程序的密码保护可防止具有系统物理访问权限的未授权用户使用可移动介质引导,或通过单用户模式获得 root 权限。为防止此类攻击,您应该根据有关工作站和机器位置的敏感性来采取安全措施。

例如,如果机器是在交易展示中使用并且不包含敏感信息,那么防止此类攻击可能并不重要。但是,如果带有公司网络的私有的、未加密的 SSH 密钥的员工的笔记本在同一个展会上无人看管,则可能会导致重大的安全漏洞,对整个公司造成影响。

但是,如果工作站位于只有授权的或可信任的人员才有权访问的地方,则可能不需要保护 BIOS 或引导加载程序。

1.1.1. BIOS 密码

密码保护计算机 BIOS 的两个主要原因是[1]:

防止更改 BIOS 设置
如果入侵者可以访问 BIOS,则他们可以将其设置为从 CD-ROM 或闪存驱动器引导。这使得他们能够进入救援模式或单用户模式,从而使他们可以在系统上启动任意进程或复制敏感数据。
防止系统引导
某些 BIOS 允许引导过程的密码保护。激活后,攻击者必须在 BIOS 启动引导加载程序前输入密码。

由于设置 BIOS 密码的方法因计算机制造商而异,因此请查阅计算机手册了解具体说明。

如果您忘记 BIOS 密码,可以通过主板上的跳线来重置,也可以通过断开 CMOS 电池来重置。因此,如果可能的话,最好锁好计算机机箱。但是,在尝试断开 CMOS 电池之前,请查阅计算机或主板的手册。

1.1.2. 非基于 BIOS 的系统安全性

其他系统和架构使用不同的程序来执行大致相当于 x86 系统上 BIOS 的低级别任务。例如,统一可扩展固件接口 (UEFI)shell。

有关密码保护类似 BIOS 程序的说明,请查看制造商的说明。



[1] 因为制造商之间的系统 BIOS 有所不同,因此有些制造商可能不支持这两种类型的密码保护,而另一些制造商可能支持一种类型,但不支持另一种类型。