Comment puis-je rendre difficile l'installation d'un nouveau système d'exploitation sur un certain ordinateur?

12

Je souhaite héberger un site Web sur un ordinateur de bureau exécutant Ubuntu avec une machine virtuelle Windows. Je donnerai l'ordinateur en échange d'un certain nombre de mois d'hébergement Web à distance. Je veux ajouter une sorte de verrou (matériel ou autre) afin que les utilisateurs finaux aient du mal à réinstaller Windows et à utiliser la machine comme ils le souhaitent, en contradiction avec le contrat.

Idéalement, je voudrais que la machine meure si la réinstallation du système d'exploitation est tentée. Il ne doit pas être complètement insurmontable , mais il doit être suffisamment difficile pour empêcher une réinstallation occasionnelle . Peut-être qu'au démarrage, le système peut vérifier si certains fichiers existent sur l'ordinateur et refuser de démarrer si ce n'est pas le cas. Je ne sais pas si cela est possible, mais le BIOS est peut-être protégé par mot de passe et recherche les fichiers avant de démarrer. Les fichiers qu'il recherche peuvent être sensibles à la date, c'est-à-dire nécessiter un remplacement à distance selon un calendrier.

installation operating-systems DW
la source
4
Qui va faire cet hébergement pour vous? Si vous ne leur faites pas confiance pour ne pas effacer l'ordinateur, pourquoi leur feriez-vous confiance avec les données de votre site Web?
nhinkle
16
C'est la règle d'or de la sécurité informatique: si quelqu'un a un accès direct au matériel, toutes les protections que vous mettez en place peuvent être annulées. Je ne vois tout simplement pas pourquoi vous voudriez faire ça. S'ils éteignent l'ordinateur ou ont un problème avec celui-ci, votre site Web a soudainement disparu. Un plan d'hébergement partagé bon marché est beaucoup moins cher que ne le serait l'achat d'un ordinateur et vous offre une disponibilité, des sauvegardes et des administrateurs système appropriés.
nhinkle
2
Veuillez ne pas voter contre cela simplement parce que vous n'êtes pas d'accord avec l'idée de verrouiller un ordinateur. Les entreprises verrouillent les téléphones portables. Les gens déverrouillent les téléphones portables. Ça me va, je cherche la même idée. Pour autant que je sache, cette question se trouve dans le bon forum. Si vous dévaluez, veuillez laisser un commentaire ici pour me faire savoir ce que j'ai fait de mal.
DW
7
C'est une question tout à fait valable - la nécessité de verrouiller un ordinateur pour empêcher la modification du système d'exploitation est complètement d'actualité et il existe de nombreuses bonnes raisons de le faire. Personnellement, je pense que votre objectif ultime est illogique, mais c'est toujours une question valable.
nhinkle
3
Je pense que c'est une bonne question, clairement et poliment expliquée, sur le sujet et avec beaucoup de réponses du PO pour commenter toutes les réponses. Même si la réponse est maintenant vous ne pouvez pas, je ne vois pas la raison pour laquelle voter contre, tout le contraire: +1.
Trufa

Réponses:

31

Les seuls outils dont vous disposez pour empêcher l'installation d'un nouveau système d'exploitation sur du matériel PC standard seraient de faire quelque chose comme ceci:

  • Verrouillez le boîtier. Utilisez la fente Kensington si votre boîtier en a une, sinon verrouillez-la physiquement.

  • Configurez un mot de passe de configuration du BIOS.

  • Configurez le BIOS pour démarrer uniquement à partir du premier disque dur, pour ne pas démarrer sur un périphérique USB externe, un réseau local ou un CD-ROM. Expédiez l'ordinateur sans CD-ROM et / ou disquette si possible. Déconnexion interne ou ports USB époxy.

  • Je ne sais pas si vous pouvez configurer GRUB pour ne jamais démarrer à partir d'un disque externe, mais si c'est possible, GRUB devrait être configuré de cette façon.

  • Sélectionnez de bons mots de passe root et utilisateur.

Bien sûr, s'ils ouvrent physiquement le boîtier, vous ne pouvez pas faire grand-chose, mais cela devrait empêcher la réinstallation occasionnelle d'un autre système d'exploitation.

LawrenceC
la source
2
+1 Oui, je souhaite éviter une réinstallation occasionnelle. J'aimerais une méthode qui permette l'utilisation de CD-ROM et USB cependant. Personne ne veut un ordinateur sans CD-ROM.
DW
7
Envoyez-le ensuite avec un CD-ROM / disquette, mais sans le CD-ROM ou la disquette connecté à la carte mère.
LawrenceC
1
Cela ne m'aide pas et ne résout pas le problème. Bien essayé quand même.
DW
7
@DW En fait, ce qu'il a dit vous couvre. Il a dit: "Expédiez l'ordinateur sans CD-ROM et / ou disquette si possible". Et si ce n'est pas possible? Regardez la phrase qu'il a écrite avant cela, elle dit "Configurer le BIOS pour démarrer uniquement à partir du premier disque dur, pour ne pas démarrer sur un périphérique USB externe, un LAN ou un CD-ROM"
barlop
@barlop vous avez raison. Je pensais que ultrasawblade était sarcastique avec son dernier commentaire, mais je dois réexaminer cette réponse.
DW
29

Si vous autorisez quelqu'un à accéder physiquement à une machine, vous ne pouvez rien faire pour l'arrêter.

MDMarra
la source
3
Je dois préciser que j'essaie d'éviter une réinstallation occasionnelle.
DW
1
@DW - vous pouvez réinitialiser un mot de passe BIOS en déplaçant un cavalier sur la plupart des cartes mères. Il faudrait à quelqu'un 10 minutes pour le rechercher sur Google, 5 minutes pour couper le verrou et 2 minutes pour supprimer le mot de passe du BIOS. Vraiment, il n'y a pas de bon moyen.
MDMarra
1
@DW - vous avez donc posé cette question afin que quelqu'un puisse vous dire de mettre un verrou dessus?
MDMarra
3
+1 à cette réponse. Il n'y a rien de tel qu'une "installation occasionnelle" - quiconque s'approche de votre box avec un CD de démarrage l'aura et exécutera le système d'exploitation de son choix. Le mieux que l'une des suggestions de cette page puisse faire est d'empêcher une "installation accidentelle", quelle qu'elle soit.
bitslave
1
@DW - Vous devez alors définir "facilement". Pour quelqu'un qui veut réinstaller un système d'exploitation, il est assez facile de verrouiller le boîtier et de déplacer un cavalier. Je pense que de nombreux utilisateurs de ce site pourraient le faire sans même chercher quel cavalier déplacer. Cela semble que votre problème soit plus facilement résolu au niveau de la politique, et non au niveau technique, car il est littéralement impossible de résoudre au niveau technique.
MDMarra
5

Vous pouvez remplacer toutes les vis visibles par un Torx de sécurité, en particulier les vis qui maintiennent le disque dur en place. De cette façon, ils ne peuvent pas installer un autre système d'exploitation sur un autre disque dur, échanger le disque dur, puis démarrer à partir du nouveau disque dur. Tout le monde peut acheter des pilotes de sécurité Torx, mais cela ralentira une personne normale, qui n'en aura probablement pas dans sa boîte à outils.

Marco A.
la source
4

Il y a quelques ordinateurs Dell qui ont besoin d'un mot de passe administrateur pour démarrer à partir d'autre chose que le disque dur. L'inconvénient étant que si la batterie CMOS est retirée pendant 30 secondes, ils pourraient alors contourner tous les paramètres du BIOS précédemment définis car ils sont tous complètement restaurés. Mais c'est juste mes 2 cents. À moins que la personne à qui vous donnez cela en sache vraiment trop sur la réinitialisation du BIOS uniquement pour installer Windows, ne lui donnez pas d'ordinateur, mais sinon, cela peut empêcher une installation occasionnelle.

paradd0x
la source
+1 C'est la première réponse qui s'approche d'une solution. Avez-vous plus d'informations à ce sujet?
DW
2
C'est une fonctionnalité habituelle du BIOS, rien de spécial pour les machines DELL. Les PC d'entreprise ont souvent un petit verrou amusant pour vous empêcher de retirer la batterie CMOS ou de faire autre chose (enregistreur de frappe matériel, ...). Ils ne résistent pas à la force pure, mais vous le reconnaîtriez après, s'ils étaient brisés.
utilisateur inconnu
J'ai mentionné les machines Dell en raison de mon expérience avec l'utilisation d'un verrou BIOS sur celles-ci. De toute évidence, il doit s'agir d'une fonctionnalité largement utilisée dans un cadre d'entreprise.
paradd0x
2

Faites ce que font la plupart des entreprises, faites-leur signer un contrat disant que vous refusez de le prendre en charge si elles changent de système d'exploitation.

Andee
la source
Merci pour vos deux cents. L'utilisateur final n'aura pas besoin de beaucoup d'assistance. Cela n'aura aucun effet.
DW
1

À la question des commentaires:

S'il existe un moyen de faire mourir un ordinateur s'il n'a pas de connexion Internet pendant quelques jours.

Oui, possible, mais uniquement sur une base occasionnelle et vulnérable aux problèmes de réseautage.

Vous pouvez mettre un script dans la section init-script, qui vérifie l'accès à Internet et fait shutdowns'il n'y a pas d'accès.

Des scripts plus élaborés pourraient écrire dans un protocole ou accéder à un site Web en fonction de la date.

Si l'utilisateur dispose de privilèges de superutilisateur, il peut détecter le script, le supprimer, le désactiver et le manipuler de toutes les manières.

Par conséquent, vous devez désactiver le mode «sauvetage» dans grub et désactiver la possibilité de modifier grub par interruption au démarrage.

Si l'utilisateur rencontre des problèmes de réseau aléatoires, la machine peut s'arrêter accidentellement.

Utilisateur inconnu
la source
1
  • Configurez le BIOS pour démarrer d'abord sur le disque dur (ce qui supprime la possibilité de démarrer à partir d'un périphérique USB / CD-ROM)
  • Définissez un mot de passe BIOS
  • Assurez-vous que l'utilisateur du système d'exploitation n'a pas de privilèges d'administrateur (c'est-à-dire qu'il ne peut pas insérer un CD d'installation sous Windows / Linux et le faire à partir de là).

Cela devrait vous donner le niveau de sécurité que vous recherchez.

Arne
la source
Vous devez également durcir GRUB (2). Peut-être avez-vous reconnu qu'il avait dit que ce serait un Ubuntu-PC avec Windows virtuel.
utilisateur inconnu
Cette réponse est similaire à celle de superuser.com/questions/246234/… . Je vais me concentrer sur celui-ci pour l'instant.
DW
0

En option matérielle, vous pouvez utiliser un boîtier d'ordinateur sécurisé. J'ai acheté cet étui il y a longtemps (il n'est plus disponible, mais vous donne une idée de ce que vous recherchez). Il a une porte avant verrouillable et un panneau latéral verrouillable (l'autre panneau latéral est rivé, ne se détache pas). Fondamentalement, si tout est verrouillé, tout ce que vous pouvez accéder est les connecteurs arrière et quelques connecteurs du panneau avant (deux USB, un FireWire400). Il n'y a pas d'accès aux disques, au bouton d'alimentation ou au bouton de réinitialisation. L'onglet de verrouillage réel est uniquement en plastique, donc je suis sûr qu'il pourrait être cassé avec suffisamment de force, mais vous ne recherchez pas ici une sécurité de qualité CIA. Cela devrait suffire à les décourager.

Doug le Neard
la source
1
Juste pour vous faire savoir, FireWire permet un accès DMA direct.
kinokijuf