[FUG-BR] Proteção

[Renato Frederick]

> 
> Preciso que ele seja praticamente inacessível mesmo com acesso físico
> a máquina (entendam por acesso fisico o acesso ao monitor e teclado),
> e que ele busque atualizações apenas em outro servidor da minha rede
> (nele, em nenhum outro). Eu iria configurar ele e então travar ele de
> forma que nada mais precise ser mudado.

Desabilite a console no /etc/ttys ou coloque como insecure, o que fará com
que a senha do root seja pedida no momento do boot, caso alguém tente
iniciar em single mode.

Remova cdrom/disquete e ative senha de BIOS, bem como ative o alerta de open
case, caso alguém tente abrir o gabinete. Gabinetes profissionais possuem
além do alerta opção de cadeado ou chaves.

> 
> Ele rodaria aplicações próprias, e eu precisaria atualizar essas
> aplicações (elas tem um módulo próprio de atualização) e o SO em si,
> mas tudo através apenas do servidor interno da minha rede.

Ative ipsec entre os 2, com filtro de mac também, ligando-os via cabo cross
ou utilizando uma vlan caso haja switch no meio do caminho, bem como
travando as portas para só aceitar os mac pré determinados.
Caso seja remoto, ipsec é a única opção.

> 
> Pensei em usar alguma distro linux e então o SE Linux. Mas então
> pensei no FreeBSD, e como sou leigo no free, existe alguma "solução"
> para esse caso?
> 

Acho que a questão não é distribuição,mas sim como travar ao máximo o que
você está utilizando.

Pense também em formas de criptografar via software o que você está usando,
evitando que na pior das hipóteses arranquem  o HD com uma marreta :)

> Grato
>