Buongiorno, sto pianificando un ambiente in cui si corre il maggior rischio per la sicurezza di avviare un altro ambiente e manomettere l'installazione sul disco (vecchi PC con accesso fisico alla scatola accessibili al pubblico ). Dal momento che le password del BIOS offrono un piccolo deterrente e il PC non ha il TPM a mio avviso, cosa consiglieresti di rendere l'installazione a prova di manomissione? Attualmente sto pensando alla crittografia a dispositivo a blocco completo (LUKS) che include la cartella / boot - dovrebbe essere sufficiente? In questo modo, anche se sei in grado di eseguire il boot su un altro dispositivo, il disco di installazione non dovrebbe essere un problema, giusto? Grazie in anticipo
EDIT: Giusto per chiarire, i PC sono sotto sorveglianza e in armadietti - quindi attaccare un keylogger hardware non passerà facilmente inosservato. Avvio da una porta USB e manomissione dell'installazione: questo è il grosso problema. Gli attacchi avanzati come la modifica al firmware BIOS / UEFI probabilmente non accadrà (ambiente scolastico) - i keylogger del software sono la grande preoccupazione.
EDIT2: ulteriori chiarimenti - i PC sono in un cabinet come questo:
------------
| PC desktop
------------
Con la parte superiore coperta. Le tastiere sono collegate sul retro, quindi per accedere alla tastiera USB dovresti rimuovere l'intero desktop dal cabinet. La sorveglianza non è costantemente monitorata, ma se si dovesse trovare un keylogger (o una violazione della sicurezza) sarebbe molto facile vedere dove e quando è successo (l'identificazione non è un problema dato che è un ambiente scolastico, come per il calibro degli attacchi avanzati degli attaccanti non dovrebbe essere un problema, più probabilmente è il keylogger casuale e l'installazione di modifica). Poiché la sorveglianza non è nella misura in cui l'attività sullo schermo può essere monitorata, l'avvio in un altro ambiente e il lavoro possono passare facilmente inosservati. L'ambiente proposto è un'installazione Linux che esegue una VM Windows non persistente, quindi un exploit del SO non dovrebbe essere un problema all'interno di Windows e l'installazione di Linux eseguirà un utente non privilegiato, quindi il danno è limitato a quasi nulla. Ma, se il Linux installato può essere manomesso prima dell'avvio, tutto andrà al diavolo. Questo è il motivo per cui vedo come impedire il manomissione dell'installazione di Linux come il problema più grande.