保护物理硬件的方式非常简单:限制对硬件的接近和记录序列号。
限制接近
将服务器和相关设备安装在带锁并限制随意出入的房间内。
如果设备安装在带有门锁的机架中,除非必须维修机架内的组件,否则请始终锁上机架门。在进行设备维修之后将门锁上。
限制人员接近 USB 控制台,该控制台可提供比 SSH 连接更强大的访问功能。系统控制器、配电设备 (power distribution unit, PDU) 和网络交换机之类的设备都可能有 USB 连接。
尤其要限制人员接近热插拔或热交换设备,因为这些设备可以轻易被移除。
在带锁的机柜中存储备用现场可更换单元 (field-replaceable unit, FRU) 或客户可更换单元 (customer-replaceable unit, CRU)。仅限经授权的人员接近带锁机柜。
记录序列号
对计算机硬件的所有重要物项(如 FRU)添加安全标记。使用特殊的紫外线笔或压纹标签。
记录所有硬件的序列号。
将硬件激活密钥和许可证保存在一个安全位置,在系统出现紧急状况时系统管理员可以轻松访问该位置。打印的文档可能是证明所有权的唯一证据。