针对家庭成员强化Linux台式机

#1 楼

为root用户使用强而困难的密码。其次，请始终从没有管理权限（也是强密码）的其他用户登录并工作。


启用BIOS密码选项。每次打开计算机电源时，BIOS都会在启动前要求您输入密码。它还会阻止每个人对BIOS设置进行更改。


加密硬盘驱动器的每个分区（请检查cryptsetup for Debian-如果它也不能加密Windows分区，请使用TrueCrypt（对于Windows，是Windows操作系统）


注意您以前从未使用过的PC上连接的外部硬件设备（例如USB记忆棒或集线器）。可能有人插入了键盘记录器或其他东西。


出门时总是锁定或关闭机器电源。


软件加固：
安装gufw（预先安装的iptables防火墙的GUI）并阻止传入流量。还安装rkhunter并不时检查系统中是否存在已知的rootkit和其他威胁。


我现在能想到的就是这些。如果您有任何疑问，请在下面发表评论。

#2 楼

我不想成为这个家伙，但是


第3部法律：


如果一个坏人可以不受限制地物理访问您的计算机，那不是您


您正在问如何最好地锁定胶合板门。人们给您关于锁的很好的建议，但是它们都不重要，因为您的系统在物理上很脆弱，攻击者也能胜任。他们只会使用一把斧头（或者，如果是螺丝刀的话）。

#3 楼

根据您所需的性能和您愿意花费的金钱，考虑到您的“独特”性能，可移动的“ Live USB”或完全可引导的USB“硬盘”上的普通系统（小的ssd会很好用）可能是理想的解决方案需要针对本地攻击者的高度安全性的约束。这样，您就可以将受到感染的Windows系统留在原处，并在可随身携带的设备上创建Linux系统。对于最低的成本，您可以使用非常便宜的拇指驱动器。在快速的拇指驱动器或功能更强大的USB SSD上花更多的钱，您可以为大多数应用程序获得合理的性能。如果您与它分开，则加密是一个好主意，但是鉴于它始终存在并且它构成了整个操作系统，因此可以免受本地攻击。

#4 楼

有一些需要考虑的问题与先前给出的所有答案有所不同：您正在寻找的是隐私，而不是安全性。实施每个都不同。如果要实现安全性，则将删除其他用户的管理员访问权限，锁定每个用户的帐户，并设置保护措施以防止滥用。当然，这是以可用性为代价的。

现在要使用隐私解决方案。
由于您只是在保护自己的信息，而其他所有人都完好无损，因此有3个主要方面要解决的攻击媒介（假设您按计划迁移到Linux）：


静态数据（在硬盘上）
动态数据（在网络上）
设备处于打开状态（防火墙）时的保护

静态数据：您将需要使用某种加密方式。这样可以防止没有密钥/密码的任何人查看您保存的任何数据。关于此主题，还有很多其他答案，因此，请参考它们以获得具体的实现详细信息。

有关动态数据：我建议购买VPN服务（如果您拥有VPN服务，则可以在外部进行设置）资源）。这将加密并保护进出盒子的所有流量。它不仅保护流量，而且还保护基于连接信息的流量推断。例如，SSL加密您与您要访问的站点之间的所有流量；但是，如果有人嗅探您的流量并在最初的请求中看到facebook.com，尽管他们不知道您要发送给Facebook的内容，但他们知道您正在Facebook上做某事。 VPN将在发送到Internet之前通过其服务器传输所有流量，有效地消除了这种泄漏。

为了在设备开机时提供保护：假设所有硬件攻击都没有发生（例如键盘记录器或摄像机），则机器暴露的唯一区域是以太网。如果打开的服务存在漏洞，则有可能从网络上攻击该服务并获得对计算机的控制（在您认为的谷歌搜索后的几个小时内）。为了防止这种情况，您需要设置防火墙。在Debian上，iptables应该可以。在任何传入流量上，您将希望阻止所有未建立或未建立的内容。为了进一步限制，您可以阻止所有不来自VPN的流量。这样，它几乎可以完全消除任何攻击面，并使攻击者比您的空手更专注。

以下是iptables用来设置限制的选项示例：

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -s [VPN IP] -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -d [VPN IP] -j ACCEPT

每个都在做什么：


将所有数据包都丢弃到机器中
将所有数据包都丢弃通过机器路由
丢弃从机器发送的所有数据包
允许来自VPN IP的数据包通过已存在的连接（您对VPN进行的连接）创建，以进行处理
允许从您的计算机发送到VPN的任何数据包

您还只能允许VPN使用的特定端口来进一步限制攻击媒介。
请务必注意，除通过VPN之外，无法访问Internet，因此在应用这些更改之前，请确保已设置并运行。

一旦应用了所有这些更改，该框几乎应该是不可能的在尝试使用数据时或在您不在时被试图查看您的数据的人闯入。防范社会工程学和类似的攻击要困难得多。

#5 楼

这是一个全面的解决方案，因为您说过您不必担心硬件/ USB /物理攻击。在桌面上安装Virtualbox / VMWare / Other。开始创建客人并将该客人放在可移动USB钥匙上。完成工作后，请关闭虚拟机的电源，拔下密钥，然后将其包装起来。容器，然后将客人安装在该容器中。如果有人在偷窥，这会发出危险信号：“哦，所以他现在正在藏东西……必须找到！”与随身携带操作系统有关。您可以在USB钥匙，可移动驱动器上执行此操作，也可以引导到一次性系统（Kali，可引导Linux）中，将数据保存到云中（Dropbox等），并且不必担心操作系统，因为它将被引导从DVD中取出，每次都重新安装。

关于服务。如果所有服务都没有漏洞，运行1000个服务就没有任何意义。有什么可以访问的，以及如何访问的？强大的密码始终是关键，但请想象这里的情况更糟。 Windows上的按键记录器...由于您正在通过主机输入，它将破坏您的访客安全性。最好的选择是引导至可启动发行版，利用云来保存/存储数据或可移动磁盘。

#6 楼

我喜欢建议您从可移动媒体运行Linux的答案。它掩盖了一个事实，那就是您正在对不太好的室友采取预防措施。从实际的角度来看，它存在一些问题。您正在牺牲驱动器的速度和空间，但是更重要的是随身携带整个操作系统很麻烦。当您在家需要时，您会忘记在学校/工作中使用的驱动器。如果将可移动OS磁盘放错位置或将其丢弃过多次，则很容易丢失所有数据。

如果您不介意在计算机上存在加密分区的情况下给房客小费，那么有一种更简单的方法可以为您提供相同数量的安全性，而不会出现问题。

如果在内部硬盘驱动器上安装Linux，则显然需要加密所有Linux分区。但是，您无法加密包含内核的引导分区，因此建议您将引导分区复制到可移动（最好是写保护）的USB驱动器，并始终从USB驱动器引导系统。因此，即使有人将（未加密的）内核，初始ram驱动器甚至引导加载程序弄乱了，以使软件密钥记录程序进入您的系统，也没关系，因为您通过从您的引导中绕过混乱的引导过程（希望）清洁USB驱动器。

您可能希望对两个引导分区（硬盘驱动器上的一个和USB记忆棒上的一个）进行哈希处理，然后立即检查分区是否更改，只是想知道是否有人实际上在试图与您惹恼。实际上，您可以自动执行此操作，在加密的根分区上使用初始化脚本来检查引导分区，并在其中一个分区更改时发出警告。这样，即使您并不总是将启动USB驱动器始终置于严密监视之下，您也可以确信自己的启动分区很好。

只需将引导加载程序，内核和初始ram磁盘保留在USB驱动器上，即可使该解决方案更加实用。另外，如果您在驱动器中装入一些无害的文件夹，您的USB记忆棒中就不会立即包含可引导的内核，尽管当然，除了最基本的检查之外，它不会通过任何检查。

这一切都假定您的对手将无法使用键盘记录器来感染计算机的BIOS，在这种情况下，所有选择都被取消了，但是如果他们知道如何做到这一点并竭尽全力，话虽如此，您仍然迷路了。

说了这么多，您确定解决您家庭中显然存在的社会问题不会更简单，更有效，尤其对您的福祉更好吗

关于如何实现此操作的一些指导（回答鲍里斯的评论）：

我自己还没有进行这样的设置，所以我不能给您分步说明。但是，这里有一些提示：


首先，在具有加密根分区的硬盘驱动器上安装普通Linux发行版。如果需要多个分区，
请使用底层加密的LVM，因此您只需输入一次
密码，而不是每个分区都输入一次。您需要提供一个较小的（例如200 MB）未加密的引导分区，其中将包含
引导加载程序，内核和初始ram驱动器。 Ubuntu
和Debian标准安装程序可让您轻松完成所有操作。
确保系统启动，然后在
安装程序尚未允许您进行加密的情况下对交换分区进行加密（必须尚未尝试过任何
最近的安装程序）。互联网上有各种分步说明
，只需在Google上进行加密交换即可。
现在将引导分区放入USB记忆棒。
困难的部分是让内核从USB闪存驱动器启动（我认为它不像常规的外部USB驱动器那样启动）。可能是
最简单的方法是再次使用标准安装程序在USB记忆棒上放置同一分发版的另一个完整安装。我之前做过一些类似的事情，并且效果很好
（尽管我似乎记得我不得不经历一些麻烦-我
使用了Ubuntu发行版，但不确定是否使用标准
Ubuntu安装程序或自定义的Ubuntu live系统），当然
实际上使用闪存驱动器系统是个坏主意，因为它会不断地写入USB磁盘（主要是/var/log/消息），并且
短短几周就毁了棍子-发生在我的两个人身上。确保
可以从USB闪存驱动器引导第二个纯闪存驱动器系统。
您需要做的是更改闪存驱动器系统的根分区。
它指向闪存驱动器上的根分区，但是您希望
闪存驱动器内核使用内部
硬盘驱动器上的根分区。要更改此设置，您需要打开USB闪存驱动器上的初始RAM驱动器
，该驱动器应位于闪存驱动器的引导
分区上，并被称为
initrd.img -xxxxx，将/etc/fstab从内部硬盘驱动器的根分区复制到提取的initrd中，然后重新打包initrd。同样，网络上的各种教程还介绍了修改初始RAM驱动器映像。请注意，一种更简单的方法可能是
，将USB闪存驱动器上的initrd.img文件替换为
位于HDD引导分区上的那个文件。但是我还没有尝试过
，所以我不知道它是否行得通。
完成此操作后，您应该得到一个闪存驱动器，该驱动器会从闪存驱动器，但使用内部HD的根
分区。然后，您可以清理闪存驱动器。唯一的东西
您需要保留的是引导加载程序，内核和初始ram
驱动器（基本上，/ boot下的所有内容）。 >闪存驱动器并对其进行修补，直到获得使用内部
HD根分区的权限为止。但是，这可能要困难得多，因为已设置实时分发，因此它们使用写入RAM而不是闪存驱动器的覆盖
文件系统来延长闪存驱动器的寿命。因此，您也必须将其剔除。
另外，您还必须确保使用与内核
内核版本兼容的实时发行版，该内核版本与内部
HD的系统兼容根分区。

关于为启动分区构建哈希校验和，
假设您知道启动分区的设备名称，并且内部启动分区的名称为/dev/sda1，对于
闪存驱动器分区，构建哈希可以很简单
拾取对引导加载程序的更改。我不确定用于启动USB闪存驱动器的协议；在内部硬盘上，您还应该建立磁盘第一兆字节的指纹，因为这通常是主引导记录和grub引导加载程序的第一阶段的保存位置：

  $ sha256sum -b /dev/sda1 > hd-boot-fingerprint.sha256
  $ sha256sum -b /dev/sdb1 > usb-boot-fingerprint.sha256

一旦有了这些指纹，就可以定期重新计算
，并将计算出的新指纹与原始指纹进行比较。

#7 楼

您不能在问题条件下保护系统安全。

无论如何，对计算机的物理访问都没有安全性。除bios密码外，可以通过进入紧急模式（一种形式或另一种形式）来规避此页面上的每项对策。

BIOS密码易于重置。通常是跳线或电池卸下。

最可能的答案涉及可移动媒体。如果您在USB硬盘驱动器上运行Linux，并且始终随身携带，那么它们就没什么大不了的。但是再次通过物理访问，他们可以调整您的启动顺序并将您的启动顺序调整为平方。

您唯一的真实选择就是解决信任和访问控制的根本问题。

ps磁盘加密会有所帮助，但这不是100％的解决方案，因为它们可以访问。

#8 楼

只需购买笔记本并随身携带即可。

如果您不希望其他人检查您的数据，请不要将数据留在他们附近。机器受损。黑客硬件不一定很昂贵，您真的不知道此人将走多远才能访问您的数据。避免在本机上泄漏的最佳方法是完全停止使用它。

正如许多人告诉您的那样-物理访问等同于安全领域的游戏。不要在与不想访问您的数据的人共享的计算机上存储敏感或私有数据。

#9 楼

不知道为什么还没有人提到这件事（也许我对这个网站不太了解）。设置好Linux系统，在聊天时随便向室友提起它。可以）帮助搬出。或者，将室友丢给A），严重违反法律，B），而不尊重您的隐私。闯入某人的个人计算机无异于窃取。

这对我来说是最简单的解决方案。设置陷阱。最好的辩护是一项良好的罪行。

#10 楼

我会得到两个USB记忆棒。第一个可以在具有密码保护的硬件级别上设置为只读，第二个可以是普通记忆棒或启用PIN的记忆棒（但是如果输入了错误的PIN，它们会自我毁灭几次，请注意...）。

将操作系统安装到第一个记忆棒上，并将第二个记忆棒配置为使用全盘加密。设置分区，以便任何需要写访问权限的东西都可以存储在第二根记忆棒上，例如/ home。完全配置并使用安全密码锁定后，将USB记忆棒设置为只读。只读操作系统意味着单用户模式将不会成为一种攻击形式，因为您无法在锁定状态下将任何内容写入OS记忆棒，并且如果没有解密密码就无法读取第二个记忆棒，从而保护了所有敏感数据。

#11 楼

这是我的行动计划：


通过在设置中添加BIOS密码来锁定BIOS。我不会添加启动密码以允许用户在我的监督下使用计算机。禁用从USB，CD和网络自动引导。
从USB / CD强制引导，并安装带有加密主文件夹和硬盘上加密交换的Linux。如果可能，我会尝试将系统分区保留在非常快速的USB磁盘上，但是如果您仍然需要性能，那是不可能的。如果您选择此选项，请考虑将Linux配置为在引导时将整个系统加载到RAM中。
完成！

每次我想使用计算机时，我都会将其关闭并检查是否有问题。硬件键盘记录器。然后，我将连接我的USB磁盘（假设系统已安装在USB磁盘上）并强制从USB引导以引导系统。这样可以大大降低攻击向量：


没有人可以查看我的个人文件（它们是加密的）。我的USB磁盘或BIOS已锁定，从而使访问Linux分区更加困难）

请记住，远离计算机时始终关闭计算机，以防止冷启动攻击。

也很难注意到您使用此设置隐藏了某些东西。主分区很难从Windows查看和访问。如果他们可以访问主分区，则会看到一堆看起来很随机的文件，它们的随机文件名包含随机信息。假设Linux安装在USB磁盘上，他们甚至看不到其他操作系统！

使用单独的home和systemm分区安装Linux非常简单，但我暂时不介绍它。如果需要此信息，请添加评论。

#12 楼

另外，我忘了提。如果要设置BIOS密码，并且要根据要处理的麻烦而定，则可以投资购买侧面有锁的机箱。虽然这并不能完全防止入侵，但可以防止人们不希望被入侵而对其进行篡改。这样一来，他们不仅可以移除CMOS或访问主板/跳线来重置BIOS密码。

如果您不希望不在周围的房间消失时，也可以将Kensington锁在桌子上。不知道这些人将访问您的数据的长度。

#13 楼

几年前，我遇到了一个过于妄想的人：每次计算机启动时，主密码的字母都会更改。尝试交换它。 （您可以通过这种方式将其很好地存储在计算机旁边的情况下。）

#14 楼

我过去在一家过去的管理员没有留下很多笔记的公司里做过一些管理员工作。但是有些硬件是至关重要的，已连接到网络并且不值得信任。从那次经历中，我可以告诉你一句古老的说法是正确的：如果您有身体接触并且有决心，那么比赛结束只是时间投入的问题。您可能会在不注意的情况下更难破坏数据，但这只是为攻击者花费更多的时间。确定的攻击者可以安装微型摄像机来获取您的密码。或者，取决于键盘，便宜的麦克风录制您的按键可能就足够了。在您输入超级机密密码时，您的手机上发生了无辜呼叫。您的情况：


如其他答案中所述，请随身携带系统，例如。在USB记忆棒上。对其进行加密，然后将其戴在脖子上或在睡觉时将其锁定。
对Linux分区进行加密，但是每次使用脚本更改密码。使用单独的设备（您的电话？）重新生成该密码。它可以是同步的，也可以捕获您的PC生成的一些图像，并使用该图像来同步并重新生成密码。这就是某些银行保护其在线银行业务的方式。使用与基于USB的系统相同的严格性来保护第二台设备。
将数据存储在远程服务器上，您可以在其中查看文件的访问时间和位置。密切监控访问（从一个独立的安全位置）。这不会给您保护，但是会给您证明。仅从Live DVD访问数据。再说一遍：保护Live DVD就像可写一样。仅在纸上工作并在使用后烧毁该纸。确保它完全燃烧，并且不会像电影中那样在下面的表上留下凹痕。但是请不要吸毒，不要让自己被绑架，并确保没有人将任何东西滑入您的饮料中。 >也不要忘记保护您的备份，USB记忆棒以及您插入PC的其他任何物品。特别是在选择选项6时。

#15 楼

其他人有一些好主意。我没有读下来确定是否已经提到过，所以我很抱歉。我知道您提到您无法物理锁定房间的门，但是如何单独使用外部硬盘驱动器，对其进行加密并将其锁定在其他地方，密码箱或保险箱中呢？然后隐藏密钥或确保密钥始终在您的个人身上。

您甚至可以将一个装有外部加密硬盘驱动器的小型密码箱放到汽车的手套箱中。然后锁上你的车。然后这最多是4个障碍（解密数据，密码箱的钥匙，手套箱的钥匙，汽车的钥匙），这些骇客必须经历才能访问您的数据（取决于您是否有与门相同的密码到你的车上）。

正如其他人提到的那样，完全使用实时CD工作是一个好主意。

#16 楼

我看到很多人提到物理访问已成为游戏的终结。 https://www.qubes-os.org/

Qubes本质上是运行Fedora VM的Xen（您可以拥有其他VM，包括Debian和Windows）。一个程序，该程序使用TPM（硬件安全模块）对机密进行加密，然后在启动时将其解密并提供给您。用于此加密的密钥来自ROM，引导加载程序等的哈希。如果此列表中的内容发生更改，则哈希会更改，并且您的机密无法解密。这样一来，您的计算机就可以在启动时对您进行识别，并告诉您“自从您加密了机密以来，我一直没有变过”。在USB键盘记录器中，当您愉快地绑定dom0并最终转发到活动的VM时，键盘记录最终将记录不活动的VM。 USB VM永远不会处于活动状态，因为它的作用是坐在那里并控制USB控制器。如果需要USB端口，则可以将其临时转发到另一个VM。

由于Qubes分区将被加密，因此您无需担心Windows用户转储该分区。尝试修改引导加载程序以记录磁盘密码将导致antievilmaid无法向您提供您的秘密，因为引导加载程序将散列到其他密钥。

#17 楼

除了别人所说的（Live CD，全盘加密等）之外，以下是一些预防措施。

（1）在受信任的计算机上下载Linux发行版。不要在Windows系统上执行此操作，因为ISO映像可能会被秘密替换/感染/修改。不要只相信校验和（校验和实用程序也可能是伪造的）。

（2）在Live CD / DVD / USB记忆棒上签名。我的意思是在上面贴上物理签名，以便您可以检查是否有数据存储设备。用伪造的操作系统准备Live CD / DVD并不难。最好使用一次写入多次读取的CD / DVD。

（3）请勿在物理键盘上打字。如果您知道一些编程知识，则可以编写自己的屏幕键盘。不要使用qwerty布局。而是创建一个只有您自己知道的自定义布局。不要在按键上绘制字符。只要键盘上没有显示任何字符，您的家庭成员就无法用隐藏的摄像机记录您键入的内容。请记住，仅当您在密码字段中键入密码（该字符中的字符被其他符号（例如点）替换）时，才使用该自定义键盘，以免显示您的布局。密钥混淆器在后台调度随机密钥事件。如果存在键盘记录器，则他们将收到所有随机的键盘击键，这意味着要恢复您的凭据要困难得多。

#18 楼

另一个想法：

您可以购买便宜的单板计算机（例如Raspberry Pi）。如果您仅浏览互联网和看电影等，Pi 3的速度足以取代台式机，价格约为40美元。

它由USB手机充电器电缆（或另一台计算机的USB端口）供电，并支持HDMI输出。它足够小，您可以将其隐藏在袜子中：-)或随身携带在夹克口袋中。对于硬件按键记录程序来说，这甚至可能是安全的，因为您可以立即看到任何操作，因为它只是一块板。它是从微型SD卡启动的，它很小，因此您几乎可以将其隐藏在任何地方（或放在旧的智能手机或相机中）。您可以轻松修改SD卡上的初始ram磁盘，以便系统使用另一个根分区-例如一个在外部USB驱动器上（这是您应该认真考虑的问题，因为SD卡并非用于在其上运行写密集型操作系统）。另外，如果您不想或无法隐藏Pi，可以很容易地解释它的存在-以及您突然使用Linux的事实-说您想修补Pi-购买一些额外的便宜连接器电缆，面包板和Led只需十几美元，然后看看您可以使用Pi进行的一些很酷的简单项目，这些项目会使Led眨眼。然后，您可以使用两个sdcard进行引导。您想要隐私时使用的秘密对象，以及用作诱饵的公共对象，它只包含标准的树莓派图像和一些闪烁的led项目。

该解决方案甚至都不会影响您的桌面系统，可让您更好地控制硬件（唯一剩下的硬件危险就是键盘），并且几乎不受任何现成的软件恶意软件的影响（因为这是一种罕见的硬件平台）。另外，它很容易解释，因为很多人喜欢修补Pi，因此，如果您甚至对这样的事情感兴趣，那么这就是您为何突然对拥有第二个感兴趣的原因的完美解释。仅运行Linux的计算机。

#19 楼

从理论上讲，虽然无法通过物理访问来阻止攻击，但是您可以做很多事情来将物理访问限制在重要的范围内，从而限制攻击向量。定制的Linux引导CD以及用于存储的加密USB记忆棒。许多发行版使得制作自定义CD变得相当容易，包括Arch和Gentoo。也可以选择以安全为中心的发行版，例如Kali或Ubuntu Privacy Remix。如果您不与资源有限的攻击者打交道，即使是普通的启动CD，例如Knppoix，在很多情况下也可能足够。驱动程序可以正常工作，从而使您可以防止将驱动程序加载到可能受到威胁的硬件中。虽然仍然存在风险，但是例如入侵BIOS所涉及的困难要远远大于绝大多数随便攻击者所能承受的困难。 。使用有线键盘，切勿使用无线键盘；更好的是，使用一种可以通过拔出插头来防止访问的设备，例如便携式平板电脑键盘。在启动之前，请确保未安装任何外设，并且系统的内部未被篡改。任何USB或FireWire设备，PCI卡以及您不确定的任何硬件实际上都是潜在的攻击媒介。

注意网络和Internet。您应该假设自己遭受了ARP中毒，并采取了诸如阻止所有非加密流量之类的措施。是。如果您想与一个通过Google搜索“键盘记录程序”的老婆保持亲密关系，那么您所需要采取的措施与您的室友为中文计算机智能工作时就大不相同了。

当然，启动CD +平板电脑键盘+ USB记忆棒方法的一个好处是，根据具体情况，攻击者甚至可能不会注意到这已经完成。您可以轻松地保持偶尔使用的虚拟安装，以保持外观。

#20 楼

为您的硬盘驱动器使用热交换笼，并在不使用时卸下硬盘驱动器。随身带走或放在安全的地方。

这种驱动器可以连接到通常的SATA连接。与USB不同，您不会失去速度，它可以是任何容量。操作系统可以从该驱动器启动没有问题-当您将驱动器拿走时，它们确实无法从您的计算机中获取任何东西。

#21 楼

我的主要PC由无密码的台式PC组成，家里任何人都可以使用。从这台计算机，我连接到在Azure上运行的Windows 10计算机。我没有安装键盘记录器等的任何问题（我不认为！），但是家庭用户可以免费使用许多2因子身份验证选项，这会使该机器的密码在没有您使用的设备的情况下无法使用登录。

使用清理脚本删除MSTSC保存的设置和VPN，就不可能知道您正在连接到VM。

这里的其他建议解决了键盘记录问题，从实时CD等引导将保持底层操作系统的清洁。

这里显然存在成本问题，但是您可以使用AWS竞价型实例，并且仅在希望做自己想保密的事情时才启动它，这使它成为合理的名义成本。

这是一种替代方法，也许不能完全满足您的需求，但它可以提供一种很好的隐私解决方案（除非您想使事物不受政府和大型公司的约束） ）

#22 楼

其他答案中似乎没有提到的是HDD密码。

如果在驱动器上设置了HDD密码，它将拒绝与计算机对话，直到您将密码输入给计算机为止。密码。 BIOS在引导时提示输入密码。您还必须在BIOS设置程序中设置密码。

优点是，在计算机关闭电源后，将很难读取或更改驱动器上的数据，因为驱动器的控制器已成功运行。没用。

它不能代替加密（因为某些公司仍然可以直接读取磁盘），但是如果没有足够的动力（和愿意付费）。

请注意，如果您丢失了HDD密码，您的驱​​动器肯定会停止工作，肯定可以（某些制造商拥有“主密钥”，有些可以在Internet上找到，但是可以最后，要知道有些驱动器（例如Samsung的SSD 850 Evo）使用HDD密码对它们上的数据进行加密，从而提供了真正的安全性。

#23 楼

在软件方面，大多数答案都过于复杂了。

如果您设置CMOS密码以防止BIOS更改并锁定引导驱动器，请锁定引导加载程序，设置登录密码，对所有通常被遗忘的登录屏幕绕过黑客进行一些研究，但您不会别忘了在您走开时锁定您的会话，那么实际上无论是GNU / Linux还是Windows，任何人都无法进入。

我知道您说过，您对保护需要自定义硬件或高度高级攻击的攻击没有兴趣，但是如果您这样做，则您希望禁用任何Firewire端口，因为那些端口可以进行DMA访问，可能会禁用USB即插即用功能，只是为了防止利用USB驱动程序的错误。

因此，如果他们想访问您的计算机，他们将直接进入硬件。因此，将其设置为全盘加密。然后，您可能希望拥有一个可锁定的机箱，并配置机箱入侵者开关以擦除内存中的加密密钥并擦除其余RAM。

如果您认为他们可能会选择机箱锁或修改键盘， ，然后在键盘和计算机机箱上贴上一些带有您的签名的好标签，以防损坏键盘和计算机机箱，如果您打开键盘或计算机机箱，它们会撕裂。确保它们良好，以免用吹风机加热不会损坏它们。您还可以使用诸如封蜡和自定义印章之类的东西。在蜡上贴上蜡会显示蜡是否已被加热。您必须养成每次打开计算机时都要检查防篡改功能完整性的习惯。否则，他们可能会在其中放置某种廉价的DMA硬件或一些外部PCIe附件，从而使某人可以从内存中检索您的磁盘加密密码。或者他们可以清除CMOS密码并重新配置BIOS，以启动全盘加密密码窃取工具，然后等待您输入密码。

确保屏幕保护程序解锁密码与全盘加密密码不同。否则，如果他们对加密的硬盘驱动器进行映像，则可以通过向您显示伪造的解锁屏幕来从您那里获取密码。当您输入密码并发现解锁屏幕是假的时，它可能已经通过网络将密码发送给了他们。

请确保他们没有通过监视键盘来监视您的键盘隐藏的相机对准它。

验证您下载的所有内容，以防它们对本地网络进行了某些操作，从而将恶意软件添加到下载的文件中。