如果只读，我也奇怪为啥非得扔物理机过去
除非对方也有数据要写入系统，又不想任何流量上到公网

【 在 Dazzy 的大作中提到: 】
: 确实是和bios有关，你要锁死启动链条，就要BIOS/UEFI配合，系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
: 当然，磁盘加密是根本。
: 不过物理机在别人手里，搞内存镜像，或者把你的系统扔虚拟化环境，提取内存里的解密key或者数据原文信息，也是可以的，类似“不可信宿主机”。看你防范到哪一步，高级别的对手，单纯的加密磁盘也不保险，因为你这个是可运行的系统，且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
: ...................
--
FROM 61.48.132.*