一般的なLinuxシステムがrootシェルを獲得した攻撃者によって破損しているとします。攻撃者はシステムカーネルを変更したり、ブートローダを変更して他のカーネルをロードしたりする可能性があります。
この修正を防ぐ方法はありますか?
通常のハードドライブのみを持つ通常のコンピュータにインストールされている一般的なLinuxオペレーティングシステム(コンテナではない)に対してこれらの機能を無効にしたいと思います。私はCDROMのような読み取り専用メディアを使用したくありません。
おおよその理論的解決策は、カーネルにパッチを適用して、MBRとカーネルとブートローダファイルが格納されているハードドライブの他の領域(おそらくパーティション)への変更を無効にすることです。
ベストアンサー1
[ルート]が[カーネルまたはブートローダ]を変更するのを防ぐ方法はありますか?
いいえ。
UEFIセキュリティブートはリモート攻撃者が再起動を続行するのを防ぎますが、再起動するたびに再攻撃する可能性があります。ローカルユーザーは以下を使用する必要があります。
mokutil -#-import my_signing_key_pub.der
完全な統制権を得るために。最善の緩和方法は、IDSを深く使用することです。