我确信这是可能的,但到目前为止还没有找到任何参考资料可以告诉我如何做到这一点。我需要部署一个“设备”,其中包含允许用户使用的软件和数据,但我希望防止他们在内部闲逛。用户将没有 root 访问权限,因此应该保护正在运行的系统。我想阻止硬盘被拉出并安装到其他地方。
到目前为止,我已将除 /boot 之外的所有内容安装到加密文件系统中,并且在启动过程的早期就要求我输入密码。我的一位同事从“某处”听说 TPM 将是保护密码挑战的解决方案,这将允许系统在没有 root 用户存在的情况下启动和解密根分区。我如何让它工作,一直在谷歌搜索各种组合,但无济于事。我还安装了 TPM 感知版本的 GRUB,但不知道这如何/是否真正对我有帮助。
答案1
如果您使用 LUKS/dm-crypt,本教程可能会提供答案。它描述了如何在启动期间使用特殊的仅限根密钥文件自动解锁加密分区。