Ищу способ защитить систему от сброса пароля

по сети с флешки

А сеть то откуда? Вокруг же злобные домочадцы. NAS они уже давно захачили :)

заварить корпус

Вы пробовали такой тонкий металл варить, да ещё в краске? Уж проще свеху какой-нибудь хомут сварить, чем АТХ корпус мучать с риском испортить электронику внутри брызгами при прожигах.

Токен на флешке и пароль в бивисе.

Достаточно просто зашифровать boot-раздел и до initrd, без знания пароля, не доберутся.

Ну это же наивно. Что значит «не доберутся»? Всегда есть код, который расшифровывает твой boot-раздел, корень или что угодно. И пока есть возможность невозбранно вносить изменения в этот код, всё шифрование это фикция. Ну скомпилируй свой grub с парой десятков строк, который введённый пароль будет записывать на какой-нибудь предпоследний сектор диска или ещё куда, да перепиши исходный загрузчик.

Именно поэтому идея о том, что надо шифровать /boot - наивная. Она ничего не даёт в плане безопасности.

В шифровании главное - это контроль кода, который ведёт дешифровку. И для этого контроля есть только один инструмент - Secure Boot, которым почему-то линуксоиды всё никак не сподобятся нормально научиться пользоваться. Это даже вопросы некоторые вызывает, т.к. что винда, что макось уже давно всё делают как положено, и только в линуксе шифрование весьма ограниченное, причём даже в RHEL-е.

установи систему на флешку, флешку носи с собой - делов то на 200 рублей….

В шифровании главное - это контроль кода, который ведёт дешифровку.

Ну так ESP можно хранить на флешке, подальше от домочадцев, добавляющих буткиты в код grub. Если же не доверять прошивке, запускающей загрузчик с ESP, то мы упрёмся в проблему домочадцев с программаторами, и возможностью заменить материнскую плату, на кастомное шпионящее железо. Тогда останется вариант закрыть системник в сейф, и надеяться, что среди домочадцев не найдётся опытного медвежатника…

P.S.: Secure Boot, можно применять только в том случае, если прошивка 1) поддерживает Secure Boot, 2) позволяет вставлять пользовательские ключи. Например у меня, ни ноут, ни десктоп в Secure Boot не умеют.

Загрузчик на флешке это интересный вариант и к нему у меня претензий нет. Ну разве что возникают вопросы - зачем вообще тогда жёсткий диск, флешки сейчас и на терабайты бывают. Версии про программаторы рассматривать не будем, так можно далеко зайти.

P.S.: Secure Boot, можно применять только в том случае, если прошивка 1) поддерживает Secure Boot, 2) позволяет вставлять пользовательские ключи. Например у меня, ни ноут, ни десктоп в Secure Boot не умеют.

У меня ноут умеет. Вроде уже где-то писал свой конфиг. SecureBoot со своими ключами, расшифровка диска через TPM, пароль запрашивает только если изменилось что-то в цепочке загрузки, включая initrd. У ноутбука есть датчик вскрытия, поэтому если кто-то просто открутит крышку, там что-то произойдёт, вроде биос запросит пароль для продолжения загрузки.

Поэтому для меня критерий того, что произошло что-то неожиданное это если загрузчик запросит пароль. В норме это происходит только при обновлении ядра или при ребилде initrd. Ну или при обновлении биоса. В общем всё это возможно только при моих предварительных действиях. Хотя и в таком сетапе, наверное, можно навредить, но я не знаю, как. В любом случае это должны бы настраивать специалисты по безопасности, а не я по archwiki, почему и сетую на современный линукс. К примеру в том, что в макбуке всё сделано по уму и непробиваемо - я уверен куда больше.

И помимо юзерских ключей там работает майковский ключик)))

Работает норм только вариант с бутером из fpga который эмулирует флешку биоса а по проводу юсб он эмулирует dvd привод)

Всё остальное хрень и не стоит даже обсуждения и траты буковок

Клади ноут в сейф, епта.

Я в детстве и сейфы и двери открывал, так что от 6-7 летнего пацана это не поможет)

Помимо пароля на БИОС поставь пароль на диск в БИОС. После этого снятый диск нельзя будет посмотреть в стороннем устройстве. Только форматировать.

Пароль на БИОС защищает от изменения настроек БИОС-а несанкционированным пользователем. Пароль на диск запрещает доступ с инфе на диске несанкционированным пользователям.