我想租一台装有某些软件(信息亭软件)的 PC。我不想让租用这台 PC 的人读取其硬盘上的任何数据。但他们可以物理访问这台 PC。将有华硕主板和华硕外部 TPM 2.0 模块。系统中将有两个用户 - root 和信息亭,两者都有秘密密码。
问题是,保护数据的最佳和现代方法是什么(如果有人尝试使用 Live CD 或在启动时更改 Shell 来读取数据)?我研究了这个问题,并得出结论,我必须认识到以下几点:
- 在 BIOS 设置中打开 UEFI 和安全启动
- 签署可启动系统部分(这一点需要澄清 - 哪些部分?grub 列表/或者可能使用 grub2/initrd......等等......)。
- 进一步的操作是使用 dm-crypt / crypttab / LUKS 设置基于 TPM 2.0 的完全加密硬盘
- 以某种方式将所有证书安装到 TPM 2.0
但我仍然不知道最好的和最简单的方法是什么(通过 sh 脚本对所有系统加密进行无人值守的后期设置)?我应该使用列表中第 3 段中提到的所有工具,还是其中几个?
是否有对每个命令进行解释的分步信息?
提前致谢。
答案1
我编写了这个脚本来通过 TPM2 自动解锁:https://github.com/archee565/Bytelocker
顺便说一句,我相信 Linux 安装程序应该有一个自动设置选项。