确实是和bios有关，你要锁死启动链条，就要BIOS/UEFI配合，系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
当然，磁盘加密是根本。
不过物理机在别人手里，搞内存镜像，或者把你的系统扔虚拟化环境，提取内存里的解密key或者数据原文信息，也是可以的，类似“不可信宿主机”。看你防范到哪一步，高级别的对手，单纯的加密磁盘也不保险，因为你这个是可运行的系统，且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
或者换个思路，合作方只能通过加密网络访问你们的远程服务器，提出查阅请求。内容在你们处所的服务器上，远程查阅行为可记录审计。
【 在 ttaudi 的大作中提到: 】
: 请问secureboot怎么弄？我一直以为这个是和BIOS关联的。
--
FROM 119.129.53.*