Я хочу разместить веб-сайт на настольном компьютере под управлением Ubuntu с виртуальной машиной Windows. Я отдам компьютер в обмен на несколько месяцев удаленного веб-хостинга. Я хочу добавить какую-то блокировку (аппаратную или другую), чтобы конечным пользователям было трудно просто переустановить Windows и использовать машину по своему усмотрению, что противоречит договору.
В идеале, я бы хотел, чтобы машина умерла, если будет предпринята попытка переустановки ОС. Это не должно быть полностью непреодолимым , но это должно быть достаточно сложно, чтобы предотвратить случайную переустановку . Возможно, при загрузке система может проверить, существуют ли определенные файлы на компьютере, и отказаться от загрузки, если их нет. Я не знаю, возможно ли это, но, возможно, BIOS защищен паролем и ищет файлы перед загрузкой. Файлы, которые он ищет, могут быть чувствительными к дате, т.е. требуют удаленной замены по расписанию.
Ответы:
Единственные инструменты, которые вы можете использовать для предотвращения установки новой операционной системы на стандартном оборудовании ПК, - это сделать что-то вроде этого:
Зафиксируйте корпус. Используйте слот Kensington, если он есть в вашем случае, иначе каким-либо образом заблокируйте его.
Настройте пароль для настройки BIOS.
Настройте BIOS для загрузки только с первого жесткого диска, чтобы не загружаться с внешнего USB-устройства, локальной сети или компакт-диска. Поставьте компьютер без CD-ROM и / или дискеты, если это возможно. Внутренне отключите или эпоксидные USB-порты.
Я не уверен, что вы можете настроить GRUB так, чтобы он никогда не загружался с внешнего диска, но если это возможно, GRUB должен быть настроен таким образом.
Выберите хорошие корневые и пользовательские пароли.
Конечно, если они физически открывают кейс, вы ничего не можете сделать, но это должно предотвратить случайную переустановку другой операционной системы.
источник
Если вы предоставляете кому-то физический доступ к машине, вы ничего не можете сделать, чтобы остановить его.
источник
Возможно, вы захотите заменить любые видимые винты на защитные Torx, особенно те винты, которые удерживают жесткий диск на месте. Таким образом, они не смогут установить другую ОС на другой жесткий диск, выгрузить жесткий диск и загрузить с нового жесткого диска. Любой может купить драйверы безопасности Torx, но это замедлит нормального человека, которого, вероятно, не будет в их наборе инструментов.
источник
Есть несколько компьютеров Dell, которым требуется пароль администратора для загрузки с чего-либо, кроме жесткого диска. Недостатком является то, что если батарею CMOS извлечь в течение 30 секунд, они смогут обойти любые ранее установленные параметры BIOS, поскольку все они полностью восстановлены. Но это только мои 2 цента. Если человек, которому вы это даете, тоже действительно не знает так много о перезагрузке BIOS просто для установки Windows, то не предоставляйте им компьютер, но в противном случае это может предотвратить случайную установку.
источник
Делайте то, что делает большинство компаний, заставляйте их подписывать контракт, в котором говорится, что вы отказываетесь поддерживать его, если они меняют операционную систему.
источник
На вопрос из комментариев:
Да, возможно, но только на случайной основе и уязвимо для сетевых проблем.
Вы можете поместить скрипт в раздел init-script, который проверяет наличие доступа к интернету и делает,
shutdown
если нет доступа.Более сложные сценарии могут писать в протокол или получать доступ к веб-сайту на основе даты.
Если пользователь имеет привилегии суперпользователя, он может обнаружить скрипт, удалить его, деактивировать и манипулировать им всеми способами.
Поэтому вы должны отключить режим «восстановления» в grub и отключить возможность изменять grub путем прерывания при загрузке.
Если пользователь сталкивается со случайными проблемами в сети, машина может непреднамеренно завершить работу.
источник
Это должно дать вам уровень безопасности, который вам нужен.
источник
В качестве аппаратной опции, вы можете использовать защищенный компьютерный корпус. Я купил это дело много лет назад (оно больше не доступно, но дает представление о том, что вы ищете). У него запирающаяся передняя дверь и запирающаяся боковая панель (другая боковая панель приклепана, не отрывается). По сути, если все это заблокировано, все, что вы можете получить доступ, это разъемы на задней панели и несколько разъемов на передней панели (два USB, один FireWire400). Нет доступа к дискам, кнопке питания или кнопке сброса. Фактически фиксирующий язычок только пластиковый, так что я уверен, что он может быть сломан с достаточным усилием, но вы не ищете здесь безопасность ЦРУ. Этого должно быть достаточно, чтобы отговорить их.
источник