Защита (шифрующей )системы даже от root-доступа
systemctl disable servicename.
Запуск systemctl disableудаляет символическую ссылку на службу в /etc/systemd/system/*.
С этого момента эта служба больше не будет запускаться при загрузке.
Я нашел ответ :зашифровать весь диск с помощью LUKS, а затем сохранить ключи в системном TPM. Таким образом, весь диск шифруется, и конечный пользователь не может извлечь ключи из TPM... очень безопасно :
.Нет, невозможно сбросить пароль root на ПК с полным шифрованием диска (FDE ).
В учебнике, указанном в ответе, который вы добавили, рассказывается об автоматическом монтировании некоторых системных дисков, отличных от -. С FDE все, что ниже /, шифруется, включая /root/keyfile.
Если вы поместите ключевой файл в системный раздел на незашифрованном -разделе (, например./boot)из соображений удобства ваши друзья смогут прочитать файл, поэтому не делайте этого.
Читать:
- Насколько безопасно полное шифрование диска -в Ubuntu по умолчанию?
- Насколько безопасна зашифрованная файловая система LUKS?
По поводу дополнения из вашего комментария:
«Это устройство загружается и работает без вмешательства пользователя»:
Не позволяйте ненадежным пользователям загружать ваш компьютер. Если пользователи могут загружаться с вашего зашифрованного жесткого диска, они либо знают пароль, либо имеют незашифрованный ключевой файл для шифрования, и тогда они могут делать с компьютером все, что захотят.
Держите компьютер загруженным или назначьте некоторых доверенных пользователей, которым разрешена загрузка.