Kann ich das mit den Bordmitteln von Debian überprüfen?
Was denn genau???
In den BIOSen professioneller Hardware (Thin Clients, Server)
z. B: Trusted Platform Management (TPM) vorhanden und
deaktivierbar.
https://en.wikipedia.org/wiki/Trusted_Platform_Module
Was sagen deine möglichen BIOS-Einstellungen? Mal im Hardware Reference Guide deines Servers Bedeutung nachgelesen?
Für professionelle Server gibt es weitere Protokolle, z. B. um sogar BIOS remote zu konfigurieren, ein beliebiges Betriebssystem zu booten (PXE usw.). Hast du einen Server mit speziellem Management-Port? Welche Protokolle einstellbar?
Am Ende geht es bezüglich "Management-Sicherheit" darum, ein halbwegs bequemes Management für den Admin aus dem LAN zu haben - aus dem WAN/Internet/WLAN gesperrt oder nur für den Admin durchdringbar. Dafür hilft ein Firewall-Regelwerk nebst Zertfikaten und Schutz gegen DOS. Gibt viele Management-Möglichkeiten:
Intel ME und AMDs Pendant, Ciscos Smart Installation (SMI) und no vstack selber googeln
usw.
(Cisco ist oft "pöhse" und unwissende Möchtegern-Admins schimpfen auf Ciscos Bösigkeit (z. B. SMI/vstack, leicht nutzbar oder leicht deaktivieŕbar oder per WAN nicht erreichbar zu konfigurieren nach einmaliger Nutzung/Inbtriebnahme durch Remote-Admin).
... dass auch heute noch von einem infizierten BIOS eine gewisse Gefahr ausgehen könnte
Wie auch nicht, wie von jedem infizierten System (selbst Mensch mit MRSA). Konkrete, beantwortbare Fragen?
Nochmals gefragt, worum geht es dir? Welches Management-Protokoll welcher Hardware? Vorrangig professionelle Server und Clients (PCs) für zentrales Management interessant. Dein Problem besteht worin?
@all: TPM im BIOS einfach mal nachsehen, selbst entscheiden, vorher Bedeutuung nachlesen:
Kritik
TPM Chips werden bisher nur eingeschränkt verwendet, da sie die Kontrollmöglichkeiten der Nutzer stark einschränken. Das Fernhalten unerwünschter Software kann beispielsweise sowohl Virensoftware als auch Konkurrenzsoftware betreffen[9].
Das BSI schreibt in der Pressemeldung „Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM“ vom 21. August 2013, dass für Nutzergruppen, die „sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können […], sondern dem Hersteller des System vertrauen […]“, „Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten“ kann.
Allerdings beschreibt das BSI auch, dass durch die Verwendung von Windows und TPM 2.0 ein „Verlust an Kontrolle über […] Betriebssystem und […] Hardware“ einhergehe. „Insbesondere können auf einer Hardware, die mit einem TPM 2.0 betrieben wird, mit Windows 8 durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers, aber auch des Eigentümers des IT-Systems Fehlerzustände entstehen, die einen weiteren Betrieb des Systems verhindern.“ Laut BSI kann dies soweit gehen, dass sogar die „Hardware dauerhaft nicht mehr einsetzbar ist“. Gleiche Situationen bezeichnet das BSI für Bundesverwaltung und für andere Anwender, insbesondere auf kritischen Infrastrukturen, als nicht akzeptabel und bemängelt auch, dass auf diesem Wege Sabotage möglich ist.[10]
https://de.wikipedia.org/wiki/Trusted_Platform_Module
Im BIOS eines kürzlich konfiguriertem Thin Clients (HP) war TPM deaktivierbar.
Am Ende geht es rein darum, von Herstellern bereit gestellte Managementfunktionen für eine Vielzahl von (professionellen) Clients und Servern clever zu nutzen - aus dem LAN, nur von den Mangamentstationen mehrerer Firmen-Admins (1st/2nd-Level-Support) - und nicht von aussen, nicht vom WAN, nicht von Fremden! Keinen Hersteller (Geheimdienst?) wird ein Privat-PC und desseln unwissender (BIOS-) Admin großartig interessieren.