Безопасность локальной ЭВМ

[Dzhoser]

Обряд экзорцизма ещё не лишне было бы провести.

Это нужно делать тут https://forum.ubuntu.ru/index.php?topic=308275.0;topicseen
Пользователь добавил сообщение 10 Сентября 2019, 13:45:16:

Дитятко… если на машине приходится так часто запускать sudo, ты что-то делаешь серьёзно не так.

Частота значения не имеет. Это нужно при отлучении оператора...

[AnrDaemon]

При отлучении оператора станция должна быть заблокирована.
Если оператор не заблокировал станцию, его увольняют.

[Dzhoser]

При отлучении оператора станция должна быть заблокирована.
Если оператор не заблокировал станцию, его увольняют.

Человеческий фактор никто не отменяет и это самое слабое звено в безопасности. А с увольнением вы погорячились сначала выговор 

[AnrDaemon]

Это уже не технические вопросы, и решаются они не техническими методами.

[Dzhoser]

В шапку добавлен пункт блокировки исполнения модулей python с расширенным функционалом.

[olej.tsil]

добавлен пункт блокировки исполнения модулей python с расширенным функционалом.

Да чего с ним мелочиться, с этим Python - лучше просто удаляйте его нафиг...
А ещё лучше - сразу установить Windows. 

P.S. Вы тот "python" в глаза то хоть видели?

[AnrDaemon]

По-моему, теме давно место в "Беседке".

[Dzhoser]

Некоторые жаловались, что у них на серверах файлы шифруются, кому интересно https://www.linux.org.ru/news/security/15207467  https://xakep.ru/2019/09/06/lilocked/ https://bdu.fstec.ru/ubi/vul/view/id/26308.
Пользователь добавил сообщение 06 Ноября 2019, 13:19:57:

Да чего с ним мелочиться, с этим Python - лучше просто удаляйте его нафиг...

Попробуйте, потом напишите тему "Как я удалил python и не смог загрузится"
P.S. Python видел

[Dzhoser]

Intel Management Engine (Intel ME)  — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года.
Intel ME состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питанию), эта подсистема продолжает работать даже когда компьютер отключен. Intel заявляет, что ME необходима для обеспечения максимальной производительности. Точный принцип работы по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. В Intel ME было найдено несколько уязвимостей.
Отключение Intel ME в ОС
Для отключения модулей ядра ОС, работающих с Intel ME, необходимо удалить эти модули из ядра, и запретить их загрузку.

Удаление модулей можно сделать командами:

Код: [Выделить]

rmmod mei_wdt

rmmod mei_me

Код: [Выделить]

rmmod mei
Запретить загрузку модулей можно с помощью механизма "чёрного списка" модулей, создав в каталоге /etc/modprobe.d/ файл с именем, например , /etc/modprobe.d/mei.conf, и записать в него следующие строчки с названиями модулей:

blacklist mei_wdt
blacklist mei_me
blacklist mei

Проверка наличия Intel ME
Для проверки наличия и характеристик модуля Intel ME можно собрать и использовать находящуюся в свободном доступе программу intelmetool: https://github.com/zamaudio/intelmetool

[AnrDaemon]

Смысл мучаться, если Intel Management Engine имеет, кроме отдельного процессора, свою собственную сетевую карту и прямой доступ к памяти на физическом уровне (т.е. в обход любых ограничений ОС)?
Единственный рабочий способ обезопасить себя - не использовать Intel вообще.

[Dzhoser]

Смысл в следующем. ME также взаимодействует с машиной через интерфейс PCI. В Linux взаимодействие машины и ME происходит через устройство /dev/mei. Вот это мы и отключаем. Возможно в новых прошивках добавят возможность отключения в BIOS как это сделала AMD с Secure Technology.

[AnrDaemon]

Ещё раз, медленно: Intel ME работает ПАРАЛЛЕЛЬНО операционной системе. Через /dev/mei происходит не "взаимодействие машины и ME", а взаимодействие OS и ME.

[Dzhoser]

AnrDaemon, все верно. Описано отключение взаимодействие OS и ME.

[AnrDaemon]

При этом взаимодействие ME с системой осталось…

[Dzhoser]

Ну это пока никак не отключить