Операционная система GNU/Linux фильтрует ACPI-команду перевода системы парольной защиты диска в неизменяемое состояние до перезагрузки, посылаемую BIOS. Контролируется фильтрация маской acpi_gtf_filter. 99% пользователей ATA-паролем не пользуются, поэтому можно было бы и оставить защиту от дурака (с другой стороны, из-под рута можно другими способами всё поломать). В случае, когда пароль для доступа к диску используется, можно представить как варианты с независимой от ОС разблокировкой через BIOS (ввод пароля, аппаратный ключ), так и разблокировкой средствами ОС (загружающейся с иного устройства), в некоторых случаях логичным будет изменить поведение по умолчанию. Всё это малоинтересно, поскольку прозрачное шифрование в рассматриваемый стандарт не входит (но может быть добавлено производителем, очевидно, с генерацией ключа по 32 байтам пароля), и данные на диске лежат голые. Предполагается, что при сбросе пароля диск сам перезапишет все данные и вернётся в работоспособное состояние (а мы подождём). Для аппаратного шифрования есть более новый API.

Усё гуглится.