Предотвратить замену Linux
Это отчасти связано с нарушением физической безопасности.
Рассмотрим сервер Linux со всем брандмауэром и другими средствами безопасности, работающими на нем. Однако, если кто-то получит физический доступ к серверу, он может просто стереть существующий Linux на машине (отформатировав систему с помощью CD / DVD с ОС или установив новую ОС в этом месте).
Этого можно избежать, если хорошо защитить серверную машину. Однако мой вопрос: может ли Linux, как программное обеспечение-А предотвратить такие вещи? Например, я обычно хотел бы иметь какой-то параметр (устанавливается администратором), что предотвратит замену ОС. Чтобы действительно заменить ОС, администратор должен отключить эту параметр.
редактировать
Согласно комментарию @David Schwartz, краткое описание окружающей среды:
- Это не военная ситуация, когда кто-то передвигается с молотками, пилами и прочими опасными инструментами :)
- Машину нельзя было заменить физически
- Шасси машины можно было открыть и все это сделать, но это тоже маловероятно.
Среда, о которой я говорю, - это когда кто-то случайно оказывается в физической близости от машины на короткое время и пытается уничтожить ОС. Да, есть CD / DVD ROM.
Кроме того, меня не волнует, есть ли резервная копия и может ли этот парень прочитать мое содержимое. Единственное, что меня беспокоит, это то, что он потенциально может прервать мою службу.
Заключительные замечания
Спасибо за все ответы (и юмор). Цель заключалась в том, чтобы узнать, существует ли такой механизм или может ли он возможно существует. Я считаю ответ отрицательным. Не уверен, может ли это стать проблемой исследования в будущем.
Вы можете изменить конфигурацию BIOS, установить порядок загрузки только на жесткий диск, защитить BIOS паролем (но злоумышленник может сбросить его, заменив батарею BIOS), а в Linux вы можете защитить GRUB паролем. Но вам придется вводить пароль каждый раз при перезагрузке системы (если у вас есть KVM over IP, это возможно).
Но правда в том, что если кто-то имеет физический доступ к вашей машине, он может использовать молоток, C4, бензопилу и т. Д., Чтобы уничтожить ваши данные и компьютер. Даже если вы защитите его паролем BIOS, они могут заменить жесткий диск.
В заключение, если кто-то имеет физический доступ к машине, он может делать с ней все, что хочет.
Если у кого-то есть физический доступ к вашей машине, он может делать то, что хочет, и ничто из того, что вы можете сделать на уровне ОС, не сможет его остановить. Основная причина в том, что они могут просто обойти вашу ОС и загрузить свою собственную с загрузочного устройства.
Прежде всего, можете ли вы гарантировать, что злоумышленник не получит физический доступ к компьютеру? Если нет, извлеките компакт-диск, настройте так, чтобы компьютер загружался с основного жесткого диска, отключите порты USB (конечно, на уровне BIOS) и установите пароль BIOS. Но тогда злоумышленник все еще может открыть корпус (если вы его не закрепите) и вытащить батарею BIOS, чтобы сбросить любой пароль BIOS, загрузиться с флэш-памяти USB и ...
Ведь в чем проблема, если злоумышленник заменяет ОС? Это не значит, что он может получить доступ к ресурсам, хранящимся на компьютере, если диск зашифрован. А у вас есть резервные копии?
Во всяком случае, вот ваш ответ: 
Наряду с шифрованием и резервным копированием.
Первое примечание: Закон № 3 о компьютерной безопасности: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
Чтобы Помогите Чтобы уменьшить вероятность случайного установщика ОС, вы можете сделать несколько вещей с сервером Linux, как физическую, так и программную безопасность:
- Заблокируйте серверную стойку, закрепите единственный ключ
- Отключить параметры загрузки USB, CD, PXE и «Другой жесткий диск» в BIOS
- Установите безопасный пароль доступа к BIOS
- Установите пароль Grub для редактирования, отключения восстановления и однопользовательского режима
- Используйте надежные пароли root и пользователя
- Используйте AppArmour или SELinux для защиты пространства ядра и файловой системы
- Понять Закон №3. Планируйте, чтобы это не было в ваш контроль.
Чтобы заменить ОС, необходим доступ либо к 1) существующей ОС, 2) механизму загрузки машины или 3) достаточно времени с физической машиной. Я превзойду № 3, так как в этом случае мы могли бы сказать, что это не может быть облегчено, например, если у меня будет достаточно времени с физической машиной, я мог бы также разрезать цепи, заменить саму машину и покончить с ней.
Для №1: Хорошие методы (пароли) предотвратят такой доступ. Если машина также «правильно» настроена, то вероятность того, что кто-либо получит root-доступ, очень мала («правильно» здесь относится к вашей собственной среде / настройке, поскольку каждая машина зависит от вашей среды и функциональности - от надежных паролей до конфигурации ОС).
Для №2: машины серверного класса (не только) имеют механизмы, предотвращающие получение злоумышленником доступа к последовательности загрузки машины (обычно пароль загрузки и другие механизмы предотвращения загрузки).