UNIX 計算安全/物理安全

建議主題：伺服器機房、媒體儲存和網路連線。

您計算基礎設施的物理安全與在軟體級別應用的措施一樣重要。未經授權的個人獲得伺服器機房的訪問許可權可以攔截網路傳輸、導致伺服器從插入的媒體重新啟動或對您的系統和資料進行惡意破壞。

重視伺服器計算資源的公司通常會將系統放置在隔離的房間中，這些房間具有精心管理的環境以及防範停電的措施。伺服器機房的訪問受限於需要組合程式碼、特殊數字卡或生物識別裝置的鎖。可以使用監控系統（例如天花板安裝的攝像機圓頂）來監控內部。建築物訪問機制和安保人員提供外圍防禦。

但是，並非所有計算基礎設施都能得到這種程度的保護。透過訪問辦公室終端或工作站可以獲取網路和內部伺服器的訪問許可權。資料可以透過盜竊筆記型電腦或磁碟驅動器來移除或盜竊。獲取寶貴資料也很簡單，然後將其複製到媒體上以便輕鬆移除。

當入侵者對伺服器具有物理訪問許可權時，他們可能能夠從備用媒體重新啟動系統。系統啟動後，他們可能能夠掛載伺服器上的檔案系統並進行他們想要的任何更改。當系統正常重新啟動時，他們可能已插入允許未經授權許可權的更改。應從可引導裝置列表中刪除可移動媒體裝置（如 CD-ROM、軟盤、磁帶或 USB 磁碟（包括 USB U 盤）），或將其置於主引導裝置之後。

如果不存在可移動媒體裝置，系統仍然可以啟動到單使用者模式。如果此級別未受到登入提示的保護，則系統可以在相當於 root 的許可權下進行修改。供應商通常會實施引導身份驗證功能，該功能只允許授權使用者將系統引導到單使用者模式。引導身份驗證可以採取 BIOS 支援的開機密碼或專用程式的形式，例如Linux 的 sulogin 命令，該命令需要密碼才能在單使用者模式下授予訪問許可權。

稍後會詳細介紹...