일반적인 Linux 시스템이 루트 쉘을 획득한 공격자에 의해 손상되었다고 가정해 보십시오. 공격자는 시스템 커널을 수정하거나 부트 로더를 수정하여 다른 커널을 로드할 수 있습니다.
이 수정을 방지할 수 있는 방법이 있나요?
일반 하드 드라이브만 있는 일반 컴퓨터에 설치된 일반 Linux 운영 체제(컨테이너 아님)에 대해 이러한 기능을 비활성화하고 싶습니다. 나는 CDROM과 같은 읽기 전용 미디어를 사용하고 싶지 않습니다.
대략적인 이론적 해결책은 커널을 패치하여 MBR과 커널 및 부트로더 파일이 저장된 하드 드라이브의 다른 영역(아마도 파티션)에 대한 수정을 비활성화하는 것입니다.
답변1
[루트]가 [커널 또는 부트로더]를 수정하는 것을 방지하는 방법이 있나요?
아니요;
UEFI 보안 부팅은 원격 공격자가 재부팅을 계속하는 것을 방지하지만 재부팅할 때마다 다시 공격할 수 있습니다. 로컬 사용자는 다음을 사용해야 합니다.
mokutil -#-import my_signing_key_pub.der
완전한 통제권을 얻으려면. 가장 좋은 완화 방법은 IDS를 심층적으로 사용하는 것입니다.