Как укрепить Linux против нападений DMA?
это предполагает, что, локальный сервер доверяет удаленный сервер команде выполнения w/o пароль, иначе это не будет работать, поскольку Вы выполняете так называемое бездисплейное соединение без способа обеспечить вход
ssh remoteserver "/etc/init.d/some_service stop; scp /var/some_service/events localhost:${PWD}/events; scp localserver:${PWD}/new_data /var/some_service/new_data; /etc/init.d/some_service start"
все от вышеупомянутого кода должны быть на одной непрерывной строке на Вашем терминале, или если Вы выполняете его из сценария, это должно все быть одной командой, не разделенный с методической точностью питается.
если у Вас есть доверяемая пара ключей с удаленного сервера на локальный сервер, я не вижу оснований, почему это не должно работать.
Хорошо, короче говоря нет не абсолютно возможно мешать векторам потенциальной атаки. При рассмотрении статьи Wikipedia существует по существу 4 проспекта, о которых необходимо знать:
- драйверы привилегированного режима
- много устройств
- уязвимости непривилегированного режима
- Социальная инженерия
Лучшим способом смягчить Ваше воздействие (который является всем, которое можно сделать при обеспечении чего-то) является управление рискозависимость от вышеупомянутых 4 вещей.
Для остановки 1 не давайте никому способность загрузить драйверы ядра. Дополнительно не устанавливайте ненужные драйверы также.
Для остановки 2 запретите людей физического доступа к системе. Используйте безопасный дата-центр, который ограничил физический доступ только к базовым операторам компьютера.
Для остановки 3 не позволяйте пользователям способность запустить больше приложений, чем абсолютно необходимо. Это идет вне выполнения, ничего не устанавливайте вне того, что требуется. Если это - рабочий сервер, то не устанавливайте gcc на нем, например.
Остановиться 4, учебный персонал поддержки в искусстве обнаружения жульничества.
Один дополнительный объект состоит в том, чтобы удостовериться, что обновления устанавливаются и исследуются своевременно. Не обновляйте систему одна год, например.
Отключите удар молнии и firewire адаптеры и физически заблокируйте поле, таким образом, кто-то не может вставить PCI (e) карта.