UNIX 计算安全/物理安全

建议主题：服务器机房、媒体存储和网络连接。

您计算基础设施的物理安全与在软件级别应用的措施一样重要。未经授权的个人获得服务器机房的访问权限可以拦截网络传输、导致服务器从插入的媒体重新启动或对您的系统和数据进行恶意破坏。

重视服务器计算资源的公司通常会将系统放置在隔离的房间中，这些房间具有精心管理的环境以及防范停电的措施。服务器机房的访问受限于需要组合代码、特殊数字卡或生物识别设备的锁。可以使用监控系统（例如天花板安装的摄像机圆顶）来监控内部。建筑物访问机制和安保人员提供外围防御。

但是，并非所有计算基础设施都能得到这种程度的保护。通过访问办公室终端或工作站可以获取网络和内部服务器的访问权限。数据可以通过盗窃笔记本电脑或磁盘驱动器来移除或盗窃。获取宝贵数据也很简单，然后将其复制到媒体上以便轻松移除。

当入侵者对服务器具有物理访问权限时，他们可能能够从备用媒体重新启动系统。系统启动后，他们可能能够挂载服务器上的文件系统并进行他们想要的任何更改。当系统正常重新启动时，他们可能已插入允许未经授权权限的更改。应从可引导设备列表中删除可移动媒体设备（如 CD-ROM、软盘、磁带或 USB 磁盘（包括 USB U 盘）），或将其置于主引导设备之后。

如果不存在可移动媒体设备，系统仍然可以启动到单用户模式。如果此级别未受到登录提示的保护，则系统可以在相当于 root 的权限下进行修改。供应商通常会实施引导身份验证功能，该功能只允许授权用户将系统引导到单用户模式。引导身份验证可以采取 BIOS 支持的开机密码或专用程序的形式，例如Linux 的 sulogin 命令，该命令需要密码才能在单用户模式下授予访问权限。

稍后会详细介绍...