Uma instalação do Linux pode ser simplesmente hackeada usando um USB / CD ao vivo, obtendo acesso root na distribuição ao vivo, chrooting no sistema de arquivos de destino e executando passwd root . Pode-se usar o grub também . Pode haver alguns outros métodos também.
Qual é a maneira mais eficiente de se defender contra a invasão da instalação do Live USB, desde que o sistema seja executado em uma unidade SSD (TRIM e criptografia não funcionem bem)?
Não permita acesso USB.
A verdade é que, se alguém tiver acesso físico à máquina, não há muito o que fazer. Neste caso, sua melhor opção é desativar a inicialização para USB e bloquear o BIOS (ou qualquer outro utilitário de configuração da EFI que esteja sendo usado) com uma senha. É como colocar um cadeado na porta de uma garagem, há maneiras de contornar isso, mas é um passo fácil que mantém as pessoas honestas honestas.
Existe apenas uma resposta para isso: a criptografia total de disco.
A maneira como a criptografia de disco completo geralmente é feita com o Linux, sua partição /boot não é criptografada e contém o kernel e o initramfs - apenas funcionalidade suficiente para iniciar um ambiente mínimo que solicita a senha para descriptografar o sistema de arquivos raiz acesso a todo o resto.
A criptografia de disco total feita dessa forma protege seus dados de serem observados por alguém que inicializa um sistema operacional alternativo ou que, por esse motivo, extrai seu disco rígido e o monta em outro sistema. Ele não protege você de alguém que inicializa um sistema operacional alternativo ou monta seu disco rígido em outro lugar e instala um binário / kernel / módulo mal-intencionado em sua partição /boot , em seu gerenciador de inicialização ou em seu firmware do sistema.
TRIM and encryption are said not to work well
Sim, porque o TRIM revelaria quais partes do disco estão em uso e quais não estão. Não há realmente uma maneira de contornar isso ...