我有一些公用电脑,目前安装了 14.04 64 位系统,使用来宾帐户自动启动和登录。它运行良好,但我想让它更加受限。这意味着我想确保坐在电脑前的人即使找到从 USB 驱动器启动的方法也无法更改任何内容。
加密 Ubuntu 的完整安装似乎是正确的方法,但这需要一个人提供密码(这样如果他们要从 USB 启动,就可以解密并进行更改)或使用密钥文件。如果它是一个密钥文件,那么它必须位于 PC 本身上,如果有人查看 GRUB 启动,他们就能准确地看到哪个文件是密钥,那么系统就很容易受到攻击。
当然,我已禁用了除硬盘之外的任何 BIOS 选项,但这是一些较旧的计算机,并非所有 BIOS 都具有相同的选项或相同的安全级别。也就是说,您可以关闭启动到 USB 的选项,但仍然可以按下一个键来访问启动菜单,它会很乐意让您启动到 USB。这些都是捐赠的 PC,没有预算用更安全的设备来替换它们。
再次强调,来宾帐户非常棒。我设置了一个基本用户,将其链接到来宾 skel 目录,这样我就可以设置基本用户,然后来宾帐户在登录时复制基本用户帐户。来宾帐户还提供了很好的限制级别,只是根本没有权限查看普通用户可以查看的某些内容。我只是需要一个额外的层来阻止那些整天坐在电脑前什么都不做的人绕过启动并使用来宾帐户以外的任何内容。
我仍然希望/需要运行和安装自动更新。否则,每次启动时系统都会从只读映像中拉取更新。
tl;dr 有没有办法保护系统不被修改,而无需在启动时提供密码?设置为公共终端,以便闲人无法绕过启动过程并修改已安装的操作系统?