別に、見られて困るようなファイルは残していないが、基本的に痕跡を残さずに消えたいので、低レベルでもアクセスを極力不可能にする。

参考：Red Hat Enterprise Linux 4: セキュリティガイド | 4.2. BIOS とブートローダのセキュリティ

1.BIOSパスワードの設定
まずは基本的なところから。
起動時に表示されるBIOS画面からBIOS設定画面に入り、設定する。
細かなところは、ベンダによって違うので、マニュアル参照。

まぁ、これもCMOSリセットによって、回避される可能性はある。

2.ブートローダパスワード設定
シングルユーザモードでのブートをブロックする。

2.1.ハッシュ値の生成

# grub-md5-crypt

Password:

Retype password:

2.2.設定ファイル編集

# vi /boot/grub/grub.conf

timeout行以下に追加

password --md5 

2.3.ブートOSロック
デュアルブートなどで、OSパーティションをマウントされるのを防ぐ。

# vi /boot/grub/grub.conf

default=1

timeout=5

password --md5 

splashimage=(hd0,0)/grub/splash.xpm.gz

hiddenmenu

title CentOS (2.6.18-194.32.1.el5xen)

        root (hd0,0)

        kernel /xen.gz-2.6.18-194.32.1.el5

        module /vmlinuz-2.6.18-194.32.1.el5xen ro root=/dev/VolGroup00/LogVol00 rhgb quiet

        module /initrd-2.6.18-194.32.1.el5xen.img

title CentOS (2.6.18-194.32.1.el5)

        lock

        root (hd0,0)

　　　　　　　　　　　　(略)

各OS固有にパスワードを設定したい場合は、title行以下にpassword --md5 を追加する。
自分の場合は面倒なので、ブートローダ自体にかける。

ここまで設定したが、物理的にOS用HDD(SSD)を引っこ抜いて換装+CMOSリセットを行い、データ用のRAID環境の情報をさらえば、原理的にはサルベージ可能なようだ。
参考：seraphyの日記 | CenOS5.2のレスキューモードで必要な手順
物理的にアクセス可能なら、どうとでもできるな。
定期的にパスワードを入力しないと、消去アプリを発動するようなシェルでも書くか？