Linux 安装可以通过使用实时 USB/CD、获得实时发行版的 root 访问权限、chroot 到目标文件系统并运行passwd root.可以使用grub也。可能还有一些其他方法。
如果系统在 SSD 驱动器上运行(据说 TRIM 和加密效果不佳),防止从 Live USB 进行黑客安装的最有效方法是什么?
答案1
不允许 USB 访问。
事实是,如果有人可以物理访问机器,那么您无能为力。在这种情况下,您最好的选择是禁用 USB 启动并使用密码锁定 BIOS(或正在使用的任何 EFI 设置实用程序)。这有点像在车库门上放一把挂锁,有很多方法可以解决,但这是一个简单的步骤,可以让诚实的人保持诚实。
答案2
对此问题实际上只有一个答案:全盘加密。
与 Linux 上通常完成的全磁盘加密方式一样,您的/boot分区未加密,并且包含内核和 initramfs — 其功能足以启动一个最小环境,提示您输入密码来解密根文件系统并访问其他所有内容。
以这种方式完成的全盘加密将保护您的数据不被启动备用操作系统的人或提取您的硬盘驱动器并将其安装到另一个系统上的人观察到。它会不是保护您免受启动备用操作系统或将您的硬盘安装到其他地方并在您的/boot分区、引导加载程序或系统固件中安装恶意二进制文件/内核/模块的人的侵害。
TRIM 和加密据说效果不佳
是的,因为 TRIM 会显示磁盘的哪些部分正在使用,哪些部分没有使用。确实没有办法解决这个问题...