Как поместить вспомогательную оболочку и связанные с ней команды в фоновый режим?

Если ваше оборудование не защищено физически, никакие программные действия не обеспечат вам физической защиты.

Не беспокойтесь о шифровании, если у вас нет отдельного, безопасного места для ключа. Полное шифрование диска на компьютере полезно, когда кто-то вводит ключ (пароль для получения) во время загрузки. Полное шифрование диска также может быть выполнено, если ключ находится в отдельной, физически защищенной области хранения, такой как TPM или смарт-карта.

Насколько я могу судить, у Intel Edison нет такой отдельной области хранения. Кроме того, плату Edison можно загрузить с SD-карты или USB-накопителя , поэтому любой, у кого есть физический доступ к USB-порту, может извлечь все данные из eMMC.

Похоже, что загрузка USB зависит от U-Boot, поэтому вполне возможно, что замена официального образа U-Boot на пользовательский, который отключает USB, приведет к принудительной загрузке из ОС на eMMC. На самом деле я не знаю, возможно ли это, просто у меня недостаточно информации, чтобы это опровергнуть.

Даже с нестандартным загрузчиком плату можно перепрограммировать через USB-соединение. Это перезаписывает часть eMMC, но не всю ее, по крайней мере, если флэш-память прерывается. Независимо от того, где вы пытаетесь поместить ключ на eMMC, осторожный злоумышленник может избежать его перезаписи.

Если вашему серверу необходимо доверять данным с устройства, функция, которую вы ищете, называется «безопасная загрузка» (или «надежная загрузка», или «проверенная загрузка», или несколько других имен, терминология не стандартизирована. ). В процессорах Intel это достигается с помощью TPM (но встроенные платы редко имеют TPM).В процессорах ARM это достигается с помощью TrustZone и некоторых инструментов, зависящих от производителя. Ни одна из технологий не является защитой от злоумышленника, который может потратить большие суммы денег, но для их взлома требуется как минимум паяльник, а не просто USB-накопитель.