9.1. 使用好的密码

任何能够猜出 BIOS 密码、引导加载程序密码或 root 密码的人都可以完全控制这台机器。这些密码应该是不同的、不相关的、优秀的密码。随机的文本和数字是目前为止最好的选择。您永远不应该使用您认为会在搜索引擎中被搜索到的密码。[1]

猜测用户的密码只是稍微轻微一些的危害，因为黑客可以通过等待来获得 root 访问权限。黑客等待操作系统中出现 “本地漏洞利用”，并在机器被打补丁之前使用该漏洞。

严格限制机器上的用户数量。通过使用严格的密码检查器（例如基于 cracklib 的 PAM 模块）来确保只选择好的密码。

您应该写下 BIOS 密码、引导加载程序密码和 root 密码。现在您不需要记住它们，所以没有理由不让它们成为完全随机的、不相关的、优秀的密码。折叠纸张，将其放入信封并密封。

现在我们已经将计算机安全问题转变为物理安全问题。我们知道如何解决这些问题：锁、钥匙、警报器、保险箱、保安、定期检查。如果您的站点有常驻保安，那么一个好的选择是将信封留在保安岗亭保管，并指示他们对信封执行与站点总钥匙相同的程序。较小的场所可以使用保险箱、现金盒或锁着的抽屉。盗贼强行打开锁着的抽屉仍然比调制解调器后面的黑客留下更明显的入侵迹象和更多关于他们身份的线索。

这三个密码是重要的公司资产。如果机器是安全的，那么忘记机器的主要密码应该导致机器的配置无法通过非拆卸操作来更改。您应该制定书面程序来控制主要密码的生成、存储、生命周期和使用。