Як мені ускладнити встановлення нової операційної системи на певний комп'ютер?

12

Я хочу розмістити веб-сайт на настільному комп’ютері під керуванням Ubuntu з віртуальною машиною Windows. Я віддаю комп’ютер в обмін на кілька місяців віддаленого веб-хостингу. Я хочу додати якийсь замок (апаратний чи інший), щоб у кінцевих користувачів виникли труднощі просто перевстановити Windows та користуватися машиною, як вони хочуть, всупереч договору.

В ідеалі, я б хотів, щоб машина загинула, якщо буде спроба перевстановлення ОС. Це не повинно бути повністю непереборним , але це повинно бути досить важко, щоб запобігти випадковій перевстановці . Можливо, під час завантаження система може перевірити, чи існують певні файли на комп’ютері, і відмовитись від завантаження, якщо їх немає. Я не знаю, чи це можливо, але, можливо, BIOS захищений паролем і шукає файли перед завантаженням. Файли, які він шукає, можуть залежати від дати, тобто вимагати віддаленої заміни за графіком.

installation  operating-systems 
DW
джерело
4
Хто буде робити цей хостинг для вас? Якщо ви не довіряєте їм не стирати комп'ютер, чому б ви довіряли їм дані вашого веб-сайту?
nhinkle
16
Це золоте правило комп'ютерної безпеки: якщо хтось має прямий доступ до обладнання, то будь-який захист, який ви встановите, може бути переможений. Я просто не бачу, чому ти хотів би це зробити. Якщо вони вимикають комп’ютер або мають якісь проблеми з ним, ваш веб-сайт раптово не працює. Танний загальний хостинг-план набагато дешевший, ніж придбання комп'ютера, і дає вам гарантовану тривалість роботи, резервного копіювання та належних системних адміністраторів.
nhinkle
2
Будь ласка, не зволікайте це лише тому, що ви не згодні з ідеєю блокування комп'ютера. Компанії блокують мобільні телефони. Люди розблокують мобільні телефони. Зі мною добре, я шукаю ту саму ідею. Наскільки я можу сказати, це питання на правильному форумі, якщо ви заявляєте, будь ласка, залиште коментар тут, щоб ви могли знати, що я зробив не так.
DW
7
Це цілком справедливе питання - необхідність закрити комп’ютер, щоб запобігти зміні ОС, абсолютно актуальна, і для цього є багато вагомих причин. Я особисто вважаю, що ваша кінцева мета нелогічна, але це все-таки актуальне питання.
nhinkle
3
Я думаю, що це гарне запитання, чітко і ввічливо пояснено, на тему і з великою відповіддю ОП прокоментувати всі відповіді. Навіть якщо я відповів, зараз ви не можете бачити причину, чому потрібно проголосувати, все навпаки: +1.
Труфа

Відповіді:

31

Єдиним інструментом для запобігання встановлення нової операційної системи на стандартне обладнання для ПК було б зробити щось подібне:

  • Замкніть корпус. Використовуйте слот Kensington, якщо у вашому корпусі є інший, інакше фізично його зафіксуйте.

  • Налаштуйте пароль для установки BIOS.

  • Налаштуйте BIOS для завантаження лише з першого жорсткого диска, щоб не завантажувати будь-який зовнішній USB-пристрій, локальну мережу чи компакт-диск. Відправте комп'ютер без CD-ROM та / або дискети, якщо можливо. Внутрішньо від'єднайте або епоксидні порти USB.

  • Я не впевнений, чи можете ви налаштувати GRUB так, щоб ніколи не завантажувався із зовнішнього накопичувача, але якщо це можливо, GRUB повинен бути налаштований таким чином.

  • Виберіть хороші паролі root та користувача.

Звичайно, якщо вони фізично відкриють справу, ви не зможете багато зробити, але це повинно запобігти випадковій перевстановці іншої операційної системи.

LawrenceC
джерело
2
+1 Так, я хочу зробити запобігання випадковій перевстановці. Я хотів би метод, який дозволяє використовувати CD-ROM та USB. Ніхто не хоче комп’ютера без компакт-диска.
DW
7
Потім поставляйте його з компакт-диском / дискетою, але без компакт-диска чи дискети, підключеної до материнської плати.
LawrenceC
1
Це не допомагає мені і не вирішує проблему. Хороша спроба, хоча.
DW
7
@DW Насправді те, що він сказав, стосується вас. Він сказав: "Поставте комп'ютер без компакт-диска та / або дискети, якщо можливо". Що робити, якщо не можливо? Подивіться на речення, яке він написав до цього, в ньому написано: "Налаштувати BIOS для завантаження лише з першого жорсткого диска, щоб не завантажувати жоден зовнішній USB-пристрій, локальну мережу чи компакт-диск"
барлоп
@barlop ви праві. Я подумав, що ультразвукова пічка є саркастичною з його останнього коментаря, але мені потрібно переглянути цю відповідь.
DW
29

Якщо ви надаєте комусь фізичний доступ до машини, ви нічого не можете зробити, щоб зупинити їх.

MDMarra
джерело
3
Я повинен уточнити, що я намагаюся уникати випадкової перевстановлення.
DW
1
@DW - ви можете скинути пароль BIOS, перемістивши перемичку на більшості материнських плат. Комусь знадобиться 10 хвилин, щоб перезавантажити Google, 5 хвилин для вирізання блокування та 2 хвилини для видалення пароля BIOS. Дійсно, немає хорошого способу.
MDMarra
1
@DW - значить, ви задали це запитання, щоб хтось міг сказати вам, щоб на нього було встановлено замок?
MDMarra
3
+1 до цієї відповіді. Немає такого поняття, як "випадкова установка" - кожен, хто наближається до вашої скриньки з завантажувальним компакт-диском, матиме її та виконує операційний сервер свого швидкого смарт-вибору. Найкраще, що буде зроблено будь-якою з пропозицій на цій сторінці, щоб запобігти "випадковій установці", що б там не було.
бітслав
1
@DW - Тоді вам потрібно визначити "легко". Комусь, хто хоче перевстановити ОС, зашморгнути блокування на корпусі та перемістити перемичку досить просто. Я думаю, що багато користувачів на цьому сайті зможуть це зробити, навіть не дивлячись, яку перемичку рухати. Це здається, що питання, які ви вирішили, легше вирішувати на рівні політики, а не на технічному рівні, оскільки це неможливо вирішити на технічному рівні.
MDMarra
5

Можливо, ви захочете замінити будь-які видимі гвинти захисними Torx, особливо гвинти, що тримають жорсткий диск на місці. Таким чином вони не можуть встановити іншу ОС на інший жорсткий диск, поміняти жорсткий диск, а потім завантажити з нового жорсткого диска. Будь-хто може придбати драйвери Torx для безпеки, але це сповільнить нормальну людину, яка, ймовірно, не матиме їх у своїй панелі інструментів.

Марко А.
джерело
4

Існує кілька комп’ютерів Dell, яким потрібен пароль адміністратора для завантаження з будь-якого іншого, крім жорсткого диска. Мінусом є те, що якщо батарею CMOS вилучити протягом 30 секунд, вони зможуть обійти всі встановлені раніше налаштування BIOS, оскільки всі вони повністю відновлені. Але це лише мої 2 копійки. Якщо особа, якій ви це надаєте, теж насправді не знає, що про скидання BIOS просто для встановлення Windows, тоді не дайте їм комп'ютер, але в іншому випадку це може запобігти випадковій установці.

paradd0x
джерело
+1 Це перша відповідь, яка підходить до рішення. Чи маєте ви більше інформації про це?
DW
2
Це звичайна функція BIOS, нічого особливого для машин DELL. На корпоративному ПК часто є маленький смішний замок, щоб запобігти вийманню батареї CMOS або виконанню інших речей (апаратний кейлоггер, ...). Вони не чинять опір чистій силі, але ви визнаєте це згодом, якби їх зламали.
користувач невідомий
Я згадав про машини Dell завдяки своєму досвіду використання блокування BIOS на них. Очевидно, має бути функція, яка широко використовується в корпоративних умовах.
paradd0x
2

Робіть те, що робить більшість компаній, змушуйте їх підписувати контракт, вказуючи, що ви відмовитесь його підтримувати, якщо вони змінять операційну систему.

Andee
джерело
Дякую за два центи. Кінцевому користувачеві не знадобиться велика підтримка. Це не матиме жодного ефекту.
DW
1

До питання з коментарів:

Чи є спосіб змусити комп’ютер загинути, якщо він не отримає підключення до Інтернету протягом кількох днів.

Так, можливо, але лише випадково і вразливі до проблем з мережею.

Ви можете помістити скрипт у розділ init-script, який перевіряє наявність інтернетудоступності, а також робить, shutdownякщо немає доступу.

Більш детально розроблені сценарії можуть писати в протокол або відкривати веб-сайт на основі дати.

Якщо користувач має привілеї суперпользователя, він може виявити скрипт, видалити його, дезактивувати і всіма способами маніпулювати ним.

Тому ви повинні відключити режим порятунку в grub і відключити можливість змінювати grub шляхом переривання під час завантаження.

Якщо у користувача виникають випадкові проблеми з мережею, машина може вимикатись ненавмисно.

користувач невідомий
джерело
1
  • Встановіть BIOS спочатку завантажувати жорсткий диск (це видаляє можливість завантаження з USB / CD-ROM)
  • Встановлення пароля BIOS
  • Переконайтеся, що користувач ОС не має привілеїв адміністратора (тобто, щоб він не міг з'являтися на інсталяційному компакт-диску, перебуваючи в Windows / Linux, і робити це звідти).

Це повинно дати вам рівень безпеки, який, здається, вам потрібно.

Арне
джерело
Вам також потрібно затвердіти GRUB (2). Можливо, ви визнали, що він сказав, що це буде Ubuntu-ПК з віртуальною Windows.
користувач невідомий
Ця відповідь схожа на одну з superuser.com/questions/246234/… . Я зараз зупинюся на цьому.
DW
0

В якості апаратного варіанту ви можете скористатися захищеним корпусом комп'ютера. Я придбав цей випадок давно (він більше не доступний, але дає вам уявлення про те, що ви шукаєте). У нього є замикаючі вхідні двері, а сторона, що замикається (інша бічна панель заклеплена, не відривається). В основному, якщо все заблоковано, все, що ви можете отримати доступ, - це задні роз'єми та кілька роз'ємів на передній панелі (два usb, один firewire400). Немає доступу до накопичувачів, кнопки живлення або кнопки скидання. Дійсна вкладка блокування є лише пластичною, тому я впевнений, що її можна зламати з достатньою силою, але ви не шукаєте тут безпеки класу ЦРУ. Це повинно бути достатньо, щоб відбити їх.

Дуг Неард
джерело
1
Щоб повідомити вам, FireWire дозволяє отримати прямий доступ до DMA.
kinokijuf
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.