不允许 USB 访问。
事实是,如果有人可以物理访问机器,那么您无能为力。在这种狭隘的情况下,最好的办法是禁用引导至 USB 并使用密码锁定 BIOS(或任何正在使用的 EFI 设置实用程序)。这有点像在车库门上放挂锁,有很多方法可以解决,但这是一个简单的步骤,可以让诚实的人保持诚实。
对此只有一个答案:全盘加密。
全盘加密通常是用 Linux 完成的,你的/boot分区没有加密并且包含内核和 initramfs —— 刚好足以启动一个最小环境,提示你输入密码来解密根文件系统并访问其他所有内容。
以这种方式完成的全盘加密将保护您的数据不被启动备用操作系统的人观察到,或者因此提取您的硬盘驱动器并将其安装在另一个系统上的人。它不会保护您免受启动备用操作系统或将您的硬盘驱动器安装在其他位置并在您的/boot分区、引导加载程序或系统固件中安装恶意二进制文件/内核/模块的人的侵害。
据说 TRIM 和加密效果不佳
是的,因为 TRIM 会显示磁盘的哪些部分正在使用,哪些部分没有使用。真的没有办法解决这个问题......