多谢，secureboot这个没搞过，先放到后面了，不过硬盘已经luks加密，应该能有一定的安全。
合作方是做贸易的，不搞技术，理论上技术没那么高，是想防范一下哪天散伙了，服务器被搬走，数据被他们轻松拿到。
内存镜像和虚拟化环境破解这些是不是会的人很多？感觉你们段位太高了，好多没听说过。。。


【 在 Dazzy 的大作中提到: 】
: 确实是和bios有关，你要锁死启动链条，就要BIOS/UEFI配合，系统里有secureboot认可的签署证书。大白话说就和手机的锁bootloader一样。
: 当然，磁盘加密是根本。
: 不过物理机在别人手里，搞内存镜像，或者把你的系统扔虚拟化环境，提取内存里的解密key或者数据原文信息，也是可以的，类似“不可信宿主机”。看你防范到哪一步，高级别的对手，单纯的加密磁盘也不保险，因为你这个是可运行的系统，且运行环境在别人的控制之下。简单粗暴的社会工程学——翻页录屏也没差。
: ...................
--
FROM 120.231.241.*