Eu tenho alguns computadores de uso público atualmente configurados com 14.04 64 bits usando a conta de convidado para inicializar e fazer login automaticamente. Está funcionando bem, mas eu gostaria de torná-lo ainda mais restrito. Significa que eu gostaria de ter certeza de que ninguém sentado na frente do PC pode mudar qualquer coisa, mesmo que encontre uma maneira de inicializar a partir de uma unidade USB.
Criptografar a instalação completa do Ubuntu parece ser o caminho certo, mas isso exige que uma pessoa forneça uma senha (e, portanto, possa descriptografar e fazer alterações se inicializar a partir do USB) ou usar um arquivo de chave. Se é um arquivo de chave, então tem que estar no próprio PC e se alguém olhar a inicialização do GRUB eles podem ver exatamente qual arquivo é a chave, então o sistema está vulnerável.
É claro que desabilitei todas as opções de BIOS disponíveis para inicializar qualquer coisa, menos o disco rígido, mas é uma mistura de computadores antigos e nem todos os BIOS têm as mesmas opções ou o mesmo nível de segurança. ou seja, você pode desativar a opção de inicializar em USB, mas ainda pode pressionar uma tecla para acessar um menu de inicialização, onde terá prazer em inicializar o USB. Estes são PCs doados e não há orçamento para substituí-los por algo mais consciente da segurança.
Novamente, a conta de convidado é maravilhosa. Configurei um usuário básico, vinculei-o ao diretório skel de convidado para que eu possa configurar o usuário básico e, em seguida, a conta de convidado copia a conta de usuário básica no logon. A conta de convidado também oferece um bom nível de restrição, simplesmente não há permissão para ver algumas coisas que um usuário normal pode. Eu só preciso de uma camada extra para impedir que as pessoas, a quem é permitido sentar e não fazer nada na frente de um computador o dia todo, contornem a inicialização e usem qualquer coisa que não seja a conta do convidado.
Eu ainda quero / preciso de atualizações automáticas para executar e ser instalado. Caso contrário, eu teria apenas o sistema puxar de uma imagem somente de leitura toda vez que for inicializada.
tl; dr Existe alguma maneira de proteger um sistema de modificação sem ter que fornecer uma senha na inicialização? Configurar como um terminal público para que mãos ociosas não possam ignorar o processo de inicialização e modificar o sistema operacional instalado?