Наш конечный продукт, который мы будем распростронять - образ виртуальной машины который можно запустить практически на любом гипервизоре. Стоит задача защитить всю файловую систему и исходники которые есть на ней от кражи, конечно исходники будут в виде бинарников, к томуже планируется сделать веб-лицензию с certificate pinning, но в основе образа виртуалки дожен быть защищенный линукс, чтобы на нем:
1. Нельзя было получить доступ к руту (и вообще запретить вход под любым пользователем, восстановление пароля и т.д.)
2. Был изменен загрузчик
3. Докер контейнеры, образы, volumes должны лежать на зашифрованной ФС, и дешифровка должна производиться загрузчиком (важно избежать возможной подмены загрузчика)
4. Была защита от подмены ядра ОС (чтобы с другим ядром нельзя было расшифровать ФС)

ОС, предположительно Centos 7, но можно и другую

Основная цель как вы понимаете это защититься на столько на сколько это возможно, хочется услышать ваши варианты по данной теме. Задача нетрививальная и требует максимально креативного подхода, ждем ваши предложения.