Physical Security (การรักษาความปลอดภัยทางกายภาพ)
หมายถึง มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ซึ่งเป็นหนึ่งในวิธีที่ช่วยลดความเสี่ยงด้านความปลอดภัย โดยการจำกัดให้เฉพาะผู้ที่จำเป็นต้องใช้งาน
Computer Lock
การล็อคเครื่องคอมพิวเตอร์ เช่น การใช้กุญแจล็อคที่ตัวเครื่อง เพื่อช่วยในการป้องกันเครื่องและอุปกรณ์ภายในเครื่องจากการถูกลักขโมย หรือทำการเปิดเครื่องเพื่อสร้างความเสียหายต่อฮาร์ดแวร์ภายในได้ และเป็นการป้องกันการรีบูตเครื่องด้วยแผ่นดิสก์หรือฮาร์ดแวร์อื่นๆ
BIOS Security
การรักษาความปลอดภัยใน BIOS เนื่องจาก BIOS มีความสำคัญต่อโปรแกรมที่ใช้บูตเข้าระบบ เช่น LILO ดังนั้นจึงควรปรับแต่งค่าใน BIOS เพื่อป้องกันผู้โจมตีทำการรีบูตเครื่อง มีวิธีการโดยสรุปดังนี้ 1.ปรับแต่งให้ป้อนรหัสผ่านตอนที่บูตเครื่อง ซึ่งอาจจะไม่สามารถป้องกันได้ 100% เนื่องจากผู้โจมตีสามารถทำการรีเซ็ตที่ BIOS ได้ แต่ก็เป็นการชะลอเวลาของผู้โจมตี
Boot Loader Security
การรักษาความปลอดภัยที่ Boot Loader
โปรแกรม Boot Loader ของ Linux สามารถปรับแต่งให้ป้อนรหัสผ่านตอนบูตได้ ยกตัวอย่างเช่น LILO สามารถแก้ไฟล์ /etc/lilo.conf โดยเพิ่มส่วนของ password และ restricted ซึ่ง password นั้นเป็นการป้องกัน image (เป็นไฟล์ของ kernel ที่ใช้ในการบูต) ส่วน restricted เป็นการป้องกัน image โดยให้ป้อนรหัสผ่าน เมื่อมีการเพิ่มค่าพารามิเตอร์ที่ LILO prompt (เช่น single) นอกจากนี้ยังมี prompt ที่จะใช้ระบุว่าทุกครั้งที่เปิดเครื่องต้องมีการเข้าสู่ boot prompt ก่อน และ timeout นั้นใช้บอกเวลาในหน่วยวินาทีที่ใช้รอรับอินพุตจากคีย์บอร์ดว่าจะเลือกบูตไฟล์ image ใด และการปรับแต่งให้ป้อนรหัสผ่านยังคงไม่สามารถป้องกันการบูตจากแผ่นดิสก์ และการ mount root partition ดังนั้นควรที่จะใช้ BIOS Security ควบคู่ไปกับ Boot Loader Security เช่น การปรับแต่งให้ไม่สามารถบูตจากแผ่นดิสก์ และให้ป้อนรหัสผ่านก่อนเข้าใช้งาน BIOS
Detecting Physical Security Compromises
การตรวจสอบการเปลี่ยนแปลงของความปลอดภัยทางกายภาพ
วิธีที่ง่ายที่สุดในการตรวจสอบว่าเครื่องถูกผู้บุกรุกแก้ไขการทำงานใดๆ ภายในเครื่องหรือไม่ สามารถทำได้โดยการตรวจสอบจากล็อกไฟล์ที่สร้างขึ้นจากโปรแกรม syslog daemon ที่ถูกติดตั้งใน linux ซึ่งจะทำการเก็บล็อกไฟล์ไว้ ภายในล็อกไฟล์ดังกล่าวจะเก็บข้อมูลสถานะการทำงานของเครื่องตั้งแต่เริ่มบูตเครื่อง อย่างไรก็ตาม ถ้าผู้บุกรุกทราบว่าล็อกไฟล์เก็บไว้ที่ใด ก็สามารถที่จะเข้าไปแก้ไขหรือสร้างล็อกไฟล์ได้ ดังนั้นมีอีกทางเลือกหนึ่งคือการตั้งเซิร์ฟเวอร์ที่ใช้เก็บล็อกไฟล์ (Log Server) โดย syslog daemon สามารถปรับแต่งให้ส่งข้อมูลล็อกไฟล์ไปเก็บไว้ยังเซิร์ฟเวอร์ที่ใช้เก็บล็อกไฟล์ได้ แต่ข้อมูลนั้นยังไม่ได้เข้ารหัส ผู้บุกรุก
ไม่มีความคิดเห็น:
แสดงความคิดเห็น