安全的PXE网络操作系统安装

Question

如何确保在使用PXE引导远程操作系统时，所发送的数据是加密的(或者至少保持完整性)？

是否可以用ssh获取iso？

Answer 1

我不认为PXE引导的第一部分是安全的。恶意DHCP服务器可能会劫持您的安装。而TFTP提供了完全零的安全性。

但是，假设您从正确的DHCP服务器获得响应，并从正确的TFTP服务器中提取引导文件，则配置可以引导客户端通过HTTPS加载，这将提供加密和身份验证。

参见，例如，如何设置PXE安装程序。在底部提供的配置文件中替换一个HTTPS服务器。

Answer 2

iPXE为可引导映像的HTTPS传输提供了一个选项。如果将IP硬编码到iPXE OptionROM中，并将其刻录到卡中，则可以消除DHCP/TFTP组合(传输为透明的、流氓的DHCP，且没有完整性检查)所产生的问题。

Answer 3

您可以在这里找到有关iPXE的更多信息：

http://en.wikipedia.org/wiki/IPXE

在这里：

http://ipxe.org/crypto

另外，我建议您将DHCP服务器配置为只服务静态分配的IP (一个MAC，一个IP)；使用一个分离的IP地址池来引导iPXE，更好的是使用分离的vlan；使用防火墙来防止DHCPDISCOVER和DHCPRESPONSE数据包通过网络传输，并且只允许在DHCPDISCOVER和DHCPRESPONSE数据包中被信任。

不要使用老式的PXE，而不是使用新的iPXE并使用安全协议。

如果任何人都可以直接访问这个盒子，那只是时间问题。*-/