Asegure el contenido de un disco duro

Tengo que preparar una computadora para regalar, y no sé quién la usará. La computadora tiene Debian instalado y la unidad de disco duro está completamente encriptada. Todos los usuarios tienen su almacenamiento en el server. He estado creyendo que si cumple con algunas de las condiciones que se detallan a continuación, se realizarán grandes trabajos para todos los departamentos de informática:

  1. Cualquiera puede encender / apagar la computadora como lo deseen

  2. Solo los usuarios permitidos pueden usar aplicaciones instaladas

  3. Los usuarios permitidos no pueden ver ningún file de configuration, modificar, almacenar datos y copyr el contenido del HDD, incluso cuando lo eliminen en otra computadora

  4. El HDD solo funciona con la computadora dada. Cuando se roba o toca, es automático destruir todos los datos en su interior.

¿Cómo puedo hacer eso?

No es realmente posible. Simplemente no puede evitar que alguien encienda o apague una computadora, o incluso que hagan lo que quieran con ella una vez que tengan acceso de manos a la obra.

He hecho algo similar, para un server. Utiliza encryption de disco completo y produce su key en function de los datos de hardware, como el tipo de CPU, la dirección de Mac, la cantidad de memory instalada, etc. Si alguien acaba de sacar el disco y lo coloca en otra máquina, se generará una key diferente y tal el sistema no revelaría sus datos. Se trata de una protección cuando alguien intercambia el disco en el centro de datos y lo coloca en el server de otra persona sin borrarlo primero.

Aún así debes ser consciente de que realmente no protege contra alguien que quiere meterse con tus cosas.

  1. Usa sudo (Pero el apagado no se debe evitar o las personas desconectarán el enchufe).

  2. Algunos files de configuration se pueden ajustar hasta el punto en que no se pueden ver; sin embargo, otros (críticamente la configuration de DNS) no funcionan si no son legibles por todo el mundo. Para cada file, debe leer el manual para averiguarlo.

  3. Si el encryption de disco completo + contraseña de inicio proporcionada por TPM no lo corta, necesita hardware personalizado que, en virtud de ser personalizado, detiene la mayoría de los bashs.