Se bem entendi, suas máquinas têm HHDs internos e você gostaria de impedir o acesso não autorizado de um usuário usando um live-cd, está correto?
Nesse caso, você deve procurar em criptografia de unidade inteira . Eu sei que você disse que não quer criptografar a unidade inteira, mas acredito que a criptografia será a única maneira de ir até aqui.
Em vez de criptografar todo o HDD, você pode particioná-lo para que todos os seus arquivos seguros estejam em uma partição separada que será criptografada e outra partição para arquivos menos seguros que não serão criptografados.
Não há como [eu sei] proteger com senha um disco rígido sem criptografia que impeça que um usuário em um CD ao vivo monte o disco.
Editar
NÃO recomendo fazer isso, mas é outra possibilidade proposta por uma sugestão do OP.
Em qualquer dispositivo de armazenamento, os primeiros 512 bytes da unidade são a tabela MBR e Partition. Esta é a parte que define todas as partições na unidade.], E sem ela, o sistema não tem ideia do que é onde e acha que a unidade não está formatada.
Uma possibilidade seria, no script de desligamento, após as unidades terem sido desmontadas, usar dd
para criar uma imagem de backup do MBR e, em seguida, 0
it. Novamente, na inicialização, restaure o MBR antes que o sistema monte a unidade.
As especificidades de onde o MBR de backup irá e onde o script será executado a partir de você precisará se determinar, já que eu não fiz isso antes na inicialização.
Para criar um backup do MBR
dd if=/dev/sda of=/media/somewhere/mbr.bak bs=512 count=1
Para 0 o MBR
dd if=/dev/null of/dev/sda bs=512 count=1
Para restaurar o MBR
dd if=/dev/somewhere/mbr.bak of=/dev/sda bs=512 count=1
Mais uma vez, seja muito cauteloso ao fazer isso e certifique-se de criar um backup do seu MBR em uma unidade USB com um sistema operacional inicializável ativo para que possa restaurá-lo se houver algum problema.
Os detalhes de onde no script de desligamento e no script de inicialização precisarão ser descobertos, já que o MBR precisa ser lido de uma unidade montada e não pode montar uma unidade sem MBR.