Ubuntu LinuxでのBIOSルートキットの防止

Question

優れたファイアウォール、強力な管理者パスワード、最新のセキュリティパッチの確保、ルーターセキュリティの強化など、標準的なセキュリティの「ベストプラクティス」以外に、Ubuntuを介した（特に）biosルートキットの防止に役立つ具体的なものはありますか？

albert j · Accepted Answer

不明なソースからのソフトウェアのインストールには注意してください。

このプロジェクトを見ると、より多くのセキュリティのアイデアを得ることができます。

https://en.wikipedia.org/wiki/Qubes_OS

このプロジェクトは、セキュリティの専門家によって開発されています。
アイデアは、仕事、家、遊びなどを分離することです。

Virtualbox、KVM、Qemuクライアントゲストインストールを「再生」に使用することで、この分離のアイデアを既に自分で使用できます。したがって、実際の重要なものから分離することができます。

rkhunter がインストールされていますか？これは、ルートキット検出プログラムです。インストールして実行できます

Sudo dpkg-reconfigure rkhunter

好みに合わせて設定を調整します。 chkrootkit パッケージをインストールすることもできますが、chkrootkitはより多くの誤ったアラームを与える可能性があります（インストールする他のプログラムや実行中のプログラムによって異なります。）。

http://packages.ubuntu.com/search?keywords=rkhunter

https://en.wikipedia.org/wiki/Rkhunter

さらに Lynis をインストールして、コンピューターのセキュリティチェックを実行することもできます。

https://en.wikipedia.org/wiki/Lynis

David Foerster · Answer

これまでのところ、BIOSルートキットマルウェアは他のルートキットタイプのみで観察されていません。したがって、その点では、あなたの質問はこの時点ではかなり仮説に聞こえますが、とにかくあなたをyouしましょう。

例として挙げているものはすべて、あらゆる種類のマルウェアに対する一般的なセキュリティアドバイスです。

BIOSのマルウェアに対する防御を具体的に探している場合、最適なオプションは Secure Boot です。署名されていないブートローダーとカーネルモジュールのブートプロセスへの注入。これは、BIOSルートキットがシステムファームウェアに自身を配置できたが、セキュアブートを無効にしたり回避したりしないことを前提としています。この状況は、マルウェアがコアUEFIファームウェアの動作を変更しないUEFIモジュールの形式で提供される場合に発生する可能性があります。

それ以外は、信頼できる環境で、特にスーパーユーザーやカーネルではなく、信頼できないソフトウェアを実行しないでください。

Kaz Wolfe · Answer

いいえ、すでにすべてのベースをカバーしました。

（投稿で説明したように）基本的なセキュリティプロトコルを理解して従い、権限のない人がマシンを使用するのを防ぐのであれば、ルートキットなどを防ぐためにできることは他にあまりありません。

よく管理され、正しく設計されたシステムの最も一般的なエントリポイントは、ゼロデイまたは公開されているがまだ修正されていないエクスプロイトの使用によるものですが、これらはほとんど避けられません。

役に立つかもしれないもう1つのアドバイスは、攻撃のために不必要な表面を作成しないようにすることです。何かをインストールする必要がない場合は、それを取り除いて、あなたに対して使用されないようにします。同じことがPPAにも当てはまります。さらに、マシンをクリーンアップし、管理しやすくします。

それ以外の場合は、rkhunterおよび同様の防御戦略をインストールして使用し、通常どおりに実行し続けます。 Linuxの許可の分離は本質的に安全です。そのため、（Sudoでできることをすべて実行するなど）それに違反することをしない限り、実行可能ファイルを任意に実行し、未知または信頼できないPPAを使用して、大丈夫です。

特にBIOSルートキットを回避するには、BIOSに「署名検証」モードなどがあるかどうかを確認してください。このようなモードは、有効な暗号署名を検出しない限り、BIOSの更新を防ぎます。有効な暗号署名は、通常、製造元からの正当な更新にのみ存在します。

Rinzwind · Answer

はい、そのルートキットをダウンロードして実行しないでください。ルートキットは簡単に入手できます。ダウンロードして、ソースの場合はコンパイルし、実行して、管理者パスワードを入力します（...）。

Ubuntu Software Centerには、ルートキット、ウイルス、マルウェアがありません。 Launchpad PPAはUSCほど安全ではありませんが、良い実績があります。追加したPPAについて調査します（例：askubuntu、ubuntuforums、および他のユーザーからのレビューの類似性を確認します）。

ソフトウェアをランダムにダウンロードしないでください。 Windowsを使用しないでください。 WINEを使用しないでください。

私の意見では、ルートキット検出器はリソースの無駄です。彼らがルートキットを検出したとしても、非常に多くの誤検知を介してそれを役に立たなくする必要があります。自由に違う考え方をしてください。しかし、実際にルートキットを見つけている人はまだいません。 LinuxのBIOSをターゲットとするものはもちろんです。 linuxおよびルートキットに関連するWeb上のトピックは、実際のルートキットが存在するトピックよりもはるかにはるかに誤検知されます。リソースの無駄。真剣に。

ルートキット検出器が良いと思われる場合は、2つインストールして結果を比較する必要があります。一方がルートキットがあり、もう一方がそうでないと主張する場合、それは誤検知であると想定できます。そして、たとえ両方がルートキットがあると主張しても、それは誤検知である可能性が高いです。

user621557 · Answer

インテルvPro cpu（Intel Core i3、i5、i7など）で有線イーサネットを使用する場合、「Intel Management Engine」（ハードウェアイーサネットポートに接続された別のCPUおよび処理環境）に気付かない場合があります。

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

このサブシステムは次のことができます。

「シリアルオーバーLAN（SOL）を介したコンソールリダイレクトを介してシステムのI/Oをリモートリダイレクトします。この機能は、リモートトラブルシューティング、リモート修復、ソフトウェアアップグレード、および同様のプロセスをサポートします。」
「BIOS設定にリモートでアクセスして変更します。この機能は、PCの電源が切れている、OSがダウンしている、またはハードウェアに障害がある場合でも使用できます。特定の設定を変更するだけではありません。」

これにより、デバイスへの物理的なイーサネットが本質的に物理的にアクセスできるようになります。心配な場合は、おそらくデバイスをイーサネットから外したままにしてください。

企業環境でこれらすべての有用性の一部を見ることができますが、このようなサブシステムにはいくつかの問題があるかもしれません... Googleの「Intel管理エンジンの脆弱性」と多くのリンクがあります。