Verifique a BIOS do seu laptop durante a inicialização, procure opções como criptografia de disco rígido ou" Bloqueio de Disco Rígido ATA "(sem criptografia, mas não acredito que a maioria das unidades tenha algum mecanismo que permita ignorar a senha).
Você pode fotografar epoxy na porta firewire para impedir que eles anexem uma ferramenta de depuração do leitor de memória PCI.
Atualizar
O fato de ser o Linux oferece mais flexibilidade. :) Você pode remover os módulos usbhid.ko
, hid.ko
e similares do kernel do sistema. Olhe através de lsmod(8)
output e remova qualquer coisa que pareça ser útil para o trackpad ou teclado ou nipple-mouse. Exclua os módulos firewire. Talvez até os módulos serial e paralelo. (Se você não estiver usando, não vai doer se livrar deles.)
Você precisará bloquear grub
, para que seu cliente não pode simplesmente editar a linha de inicialização do kernel e adicionar init=bash
ou init=getty /dev/ttyS01
ou algo mais similarmente irritante.
Você também pode querer usar uma ferramenta como AppArmor , SElinux , TOMOYO ou SMACK . Qualquer uma dessas ferramentas de controle de acesso obrigatório pode impedir que um aplicativo escape de um conjunto bem definido de privilégios. Como trabalhei no sistema AppArmor por uma década, é o que eu conheço melhor e o que recomendo :) mas qualquer uma dessas ferramentas pode ajudar a bloquear todos os mecanismos que o seu cliente possa interagir com o computador. / p>
(Para contar um pequeno conto de diversão, levamos um sistema confinado ao AppArmor para o concurso DEFCON Capture The Flag por vários anos; um ano exigiu que os usuários fizessem telnet como root com uma senha específica. AppArmor facilitou confinar o daemon telnetd
, o shell que ele iniciou e os programas que o 'scorebot' precisava para rodar. Nós nunca vencemos os concursos do CTF, mas também nunca nos enraizamos. Nunca precisávamos nos preocupar com ataques físicos porque todos estava defendendo era conhecido para nós.)
Melhor da sorte.