使Linux安装防篡改的最佳方法

Question

好日子，我目前正在规划一个环境，其中最大的安全风险是引导到另一个环境，并篡改磁盘上的安装(较旧的PC机可以物理访问公众可以访问的盒子)。由于BIOS密码几乎没有威慑作用，而且就我所知，PC没有TPM，那么您建议如何使安装防篡改呢？我目前正在考虑包括/boot文件夹的完整块设备加密(LUKS) --这是否就足够了？这样，即使您能够启动到另一个设备，安装磁盘不应该是一个问题，对吗？提前感谢

编辑:只是为了澄清，PC是在监视和橱柜-所以附加一个硬件键盘记录器不会轻易被忽视。引导到USB和篡改安装-这是一个大问题。高级攻击，如修改BIOS/UEFI固件可能不会发生(学校环境)-软件键盘记录器是最大的担忧。

EDIT2:进一步澄清--PC机在一个类似的柜子里：

 ------------

 |Desktop PC

 ------------  

上面的部分被遮住了。键盘是插入在后面，所以要访问键盘USB，你将不得不删除整个桌面从橱柜。监控并不是经常被监控的，但是如果发现一个键盘记录器(或者是一个安全漏洞)，很容易看出它发生的地点和时间(识别并不是一个问题，因为这是一个学校环境，对于攻击者的高级攻击的口径不应该是一个问题，更有可能是普通的键盘记录器和修改安装)。由于监视的程度不足以监视屏幕上的活动，启动到另一个环境，在那里工作很容易就不被注意到。建议的环境是运行非持久性Windows的Linux安装，因此操作系统漏洞不应该是Windows内部的问题，Linux安装将运行非特权用户，因此损害几乎不受任何限制。但是，如果在启动之前安装的Linux可以被篡改，那么一切都会变得糟糕。这就是为什么我认为防止篡改Linux安装是最大的问题。

Answer 1

这可能是不可能使这个系统篡改的证明，最多你可以使在一定程度上抗篡改。全磁盘加密是一个很好的方式，甚至可能是最好的，你可以通过现成的PC硬件。

但是，磁盘加密对简单的硬件密钥记录器没有帮助，这些记录器可以用于获取磁盘密码。更先进，但可能是修改固件，即BIOS/UEFI，磁盘，网卡，图形卡，英特尔SMM。

总之，你不可能真的在沼泽中建造摩天大楼(也就是防篡改的)(从现成的个人电脑上)。

编辑:根据对问题的更新，看起来所有需要做的事情都是确保系统只引导已安装的Linux，而没有用户指定的参数(即没有init=/bin/bash)。这可以通过限制BIOS中的引导介质、使用密码保护BIOS和保护loader (grub) 有密码来实现。磁盘加密在这里没有帮助，实际上阻碍了系统无人值守的启动，而在这种环境中，这可能是必需的。

Answer 2

如果没有服务需要存储数据，则可以制作只读磁盘。但如果人们可以直接进入机器，你就完蛋了。