Есть ли способ предотвратить корневую пользователю из модификации ядра и загрузочного загрузчика?
Если вы последовательно выполняете эти две команды на одном и том же терминале, происходит то, что вы ssh переходите с локального компьютера на хост по адресу remoteIPaddress , с X11 пересылка, а затем из сеанса ssh на remoteIPaddress , открывая интерактивный сеанс sftp на тот же хост. К этому сеансу sftp , поскольку он был создан в оболочке по адресу remoteIPaddress , то есть хост, который считается локальным.
Вы, вероятно, собираетесь открыть sftp со второго терминала на вашей реальной локальной машине.
Is there a way to prevent [kernel or boot loader] modifications [by root]?
Нет;
«Безопасная загрузка UEFI» не позволяла удаленному злоумышленнику продолжать работу при перезагрузке, но он мог просто повторно -взламывать систему при каждой перезагрузке. Локальные пользователи могут просто использовать
mokutil -#-import my_signing_key_pub.der
, чтобы получить полный контроль. Лучшее смягчение — это глубокое IDS.