1回答

噜噜哒

这种系统的最佳实践是以下两件事之一：系统管理员在启动期间进行身份验证，并在控制台提供密码。这通常非常不方便，但很容易实现。硬件设备用于保存凭证。最常见和最有效的称为 HSM（硬件安全模块）。它们有各种格式，从 USB 密钥到插件板，再到外部机架安装设备。HSM 带有自己的 API，您需要与之交互。HSM 的主要特征是它从不泄露其密钥，并且具有物理保护措施以防止其被提取。您的应用程序向它发送一些数据，然后对数据进行签名并返回。那证明硬件模块连接到了这台机器上。对于特定的操作系统，可以利用本地安全凭证存储，提供一些合理的保护。Windows 和 OS X 尤其有这些，通常与管理员在启动时需要输入的某些凭据有关。我不知道对 Linux 有什么特别有效的方法，通常这在服务器设置中非常不方便（因为手动系统管理员干预）。在我处理过的每种情况下，最终 HSM 都是最好的解决方案。对于简单的用途（例如启动应用程序），您可以花几百美元购买它们。对于更多的“自己动手”，我已经看到它们便宜到 50 美元。（我不是专门审查这些。我主要使用更昂贵的那些，但基本思想是相同的。）

0 0

0