硬件级的写保护以保证安全

Question

在我看来，为了最大限度地提高服务器安全性，除了在软件中执行通常的安全措施之外，还应该防止覆盖服务器系统的某些部分，这样只有物理访问才能绕过这种写保护。

基本原理

如果成功获得任意代码执行权限的远程攻击者能够修改以下内容，那么该服务器的安全性将大大低于这样的攻击者无法修改它们时的安全性：

• 启动前进程(如生物或同等物)
• CPU固件/微码
• 引导进程

这是纵深防御的基本原理。

问题

我的问题如下：

是否有可能在硬件级别上对BIOS芯片进行写保护，例如，一个设备具有与贝奥斯救世主相似的形状因素，但却拥有一个硬件开关，在物理上阻止电流到达能够覆盖BIOS的电路？(注:美国国家安全局的“蚂蚁分部有 在BIOS中植入恶意代码的明确偏好。“”)

CPU

类似地，是否有可能在硬件级别写保护处理器，例如，设备具有与上述BIOS类似的形式因子，即物理上位于主板上的CPU套接字和CPU本身之间，并再次拥有硬件开关，从而在物理上阻止电流到达能够覆盖CPU固件的电路？

操作系统存储

已经可以通过使用只读光驱动器(例如CD-ROM、DVD-ROM等)在硬件级别上对包含操作系统安装的存储介质进行写入保护。其他选项包括写保护USB闪存驱动器，或安装在USB端口和包含操作系统的驱动器之间的法医USB写入阻止器。

尽管活CD经常用于测试或试验，但这在部署中似乎并不常见。也许这是因为系统管理员不愿意为每一个操作系统更新获得对每台服务器的物理访问，即使这只是一个替换DVD-ROM和重新启动的问题；但我不同意这种偏好:对我来说，安全性更重要。

• 是否有任何服务器操作系统/发行版设计用于支持此类配置？
• 是否有任何信息资源(书籍、网站)专门用于以这种方式部署和维护服务器？

Answer 1

我工作过的大多数内存芯片都有一个W或R/W引脚来选择写入模式。物理上，将其绑定到适当的逻辑级别应该能做到这一点。

写保护USB驱动器

我对这个有点怀疑。我已经实现了微控制器<->SD卡接口，并且“写保护”位完全是在软件中处理的，所以您必须相信计算机的某些部分不能在那里编写。我不知道USB闪存驱动器是否在这方面是相同的，但这是需要记住的东西-硬件开关可能仍然有软件保护。