Как защитить Linux от атак DMA?

Question 1

Ну, в двух словах, нет, полностью предотвратить потенциальные векторы атак невозможно. Если посмотреть на статью в Википедии, то по сути есть 4 пути, о которых вам нужно знать:

драйверы режима ядра
много аппаратных устройств
уязвимости пользовательского режима
Социальная инженерия

Лучший способ снизить свою подверженность риску (а это все, что вы можете сделать, когда что-то защищаете) — это контролировать свою подверженность риску, связанному с четырьмя вышеперечисленными факторами.

Чтобы остановить 1, не давайте никому возможности загружать драйверы ядра. Кроме того, не устанавливайте ненужные драйверы.

Чтобы остановить 2, запретите людям физический доступ к системе. Используйте безопасный центр обработки данных, который имеет ограниченный физический доступ только для основных операторов компьютера.

Чтобы остановить 3, не позволяйте пользователям запускать больше приложений, чем это абсолютно необходимо. Это выходит за рамки запуска, не устанавливайте ничего сверх того, что требуется. Если это производственный сервер, то не устанавливайте gccна него, например.

Для остановки 4 необходимо обучить персонал службы поддержки искусству обнаружения мошенничества.

Еще один пункт — убедиться, что обновления установлены и проверены своевременно. Не обновляйте систему раз в год, например.

Answer

Ну, в двух словах, нет, полностью предотвратить потенциальные векторы атак невозможно. Если посмотреть на статью в Википедии, то по сути есть 4 пути, о которых вам нужно знать:

драйверы режима ядра
много аппаратных устройств
уязвимости пользовательского режима
Социальная инженерия

Лучший способ снизить свою подверженность риску (а это все, что вы можете сделать, когда что-то защищаете) — это контролировать свою подверженность риску, связанному с четырьмя вышеперечисленными факторами.

Чтобы остановить 1, не давайте никому возможности загружать драйверы ядра. Кроме того, не устанавливайте ненужные драйверы.

Чтобы остановить 2, запретите людям физический доступ к системе. Используйте безопасный центр обработки данных, который имеет ограниченный физический доступ только для основных операторов компьютера.

Чтобы остановить 3, не позволяйте пользователям запускать больше приложений, чем это абсолютно необходимо. Это выходит за рамки запуска, не устанавливайте ничего сверх того, что требуется. Если это производственный сервер, то не устанавливайте gccна него, например.

Для остановки 4 необходимо обучить персонал службы поддержки искусству обнаружения мошенничества.

Еще один пункт — убедиться, что обновления установлены и проверены своевременно. Не обновляйте систему раз в год, например.

Question 2

Отключите адаптеры Thunderbolt и FireWire и физически заблокируйте корпус, чтобы никто не смог вставить карту PCI(e).

Answer

Отключите адаптеры Thunderbolt и FireWire и физически заблокируйте корпус, чтобы никто не смог вставить карту PCI(e).

Question 3

Возьмите плоскогубцы и физически оторвите порты или точки доступа на вашей плате, я думаю, если вор не сможет найти способ физически проникнуть в оборудование, то вы в безопасности, насколько это вообще возможно. Просто убедитесь, что не повредили ничего вокруг, и все будет хорошо. Конечно, это также сделает некоторые точки неработоспособными, поэтому убедитесь, что вы абсолютно уверены, что хотите попробовать это.

Answer

Возьмите плоскогубцы и физически оторвите порты или точки доступа на вашей плате, я думаю, если вор не сможет найти способ физически проникнуть в оборудование, то вы в безопасности, насколько это вообще возможно. Просто убедитесь, что не повредили ничего вокруг, и все будет хорошо. Конечно, это также сделает некоторые точки неработоспособными, поэтому убедитесь, что вы абсолютно уверены, что хотите попробовать это.

Как защитить Linux от атак DMA?

Атаки DMA

решение1

решение2

решение3

Связанный контент