При загрузке проверьте BIOS своего ноутбука, поищите варианты, такие как шифрование жесткого диска или "Блокировка жесткого диска ATA" (не шифрование, но я не думаю, что большинство дисков имеют какой-либо механизм, позволяющий обойти пароль).
Вы можете стрелять эпоксидной смолой в порт FireWire, чтобы они не могли подключить инструмент отладки устройства чтения памяти PCI.
Обновить
Тот факт, что это Linux, дает вам больше гибкости. :) Вы можете удалить из системы модули usbhid.ko , hid.ko и аналогичные модули ядра. Просмотрите lsmod(8) и удалите все, что выглядит как полезное для трекпада, клавиатуры или мышки-ниппеля. Удалить модули FireWire. Может быть, даже последовательные и параллельные модули. (Если вы их не используете, избавиться от них не помешает.)
Вам также нужно заблокировать grub , чтобы ваш клиент не мог просто отредактировать строку загрузки ядра и добавить init=bash или init=getty /dev/ttyS01 или что-то еще, что раздражает.
Вы также можете использовать такие инструменты, как AppArmor, SElinux, TOMOYO или SMACK. Любой из этих инструментов обязательного контроля доступа может помешать приложению избежать четко определенного набора привилегий. Поскольку я работаю над системой AppArmor уже десять лет, я знаю, что лучше всего ее рекомендую :), но любой из этих инструментов может помочь заблокировать все механизмы, которые ваш клиент может взаимодействовать с компьютером.
(Чтобы рассказать небольшую историю, мы взяли систему AppArmor, ограниченную AppArmor, на конкурс DEFCON Capture The Flag в течение нескольких лет; для того, чтобы пользователи могли войти в систему как root с определенным паролем, требовался один год. AppArmor позволил с легкостью ограничить демон telnetd , оболочку, которую он запустил, а затем программы, необходимые для запуска «Scorebot». Мы никогда не выигрывали конкурсы CTF, но и у нас не было болей. Нам никогда не приходилось беспокоиться о физических атаках, потому что каждый, кто защищался, был нам известен.)
Удачи.
