可以使用命令打开哪些工具来防止 Debian 计算机上对根目录的写访问?

可以使用命令打开哪些工具来防止 Debian 计算机上对根目录的写访问?

我使用的是 Debian GNU/Linux,我希望能够在任意时间禁用对磁盘的任何写入。如果我需要重新启动才能重新启用写入访问权限,那就没问题,但对我来说最好的解决方案是不需要重新启动即可禁用写入。我还需要有其他可写入的挂载点。

我的问题是:目前对于这样的事情来说,什么方法才是“最先进的”?我不想发明自行车。以下是我正在研究的一些可能性,我正在不是如果它们不是我想要做的事情的方法,那么就要求在它们之间做出选择;但希望这能澄清我的追求。

锁定文件系统

它由bilibop-lockfs包提供挂载.lockfs命令,它声称能够做类似的事情,但是“此脚本无法手动运行,如果根文件系统尚未由 bilibop-lockfs 管理,则会失败。”这需要一些非常奇怪的技巧才能启用或禁用它。换句话说,它可能不是我想要的。

Debian wiki 上的 ReadonlyRoot

描述的过程这里需要对机器上安装的许多软件进行更改,似乎还设置了这样的情况,其中只读状态将是默认状态,而可写状态将是例外,而这不是我想要的。

文件系统保护

可用的这里似乎可以让我做我想做的事。它仍然会迫使我重新启动计算机以设置只读根系统。据我了解,可以在 Grub 中设置不同的菜单选项,一个选项将启用使用,fsprotect另一个则不会启用,从而允许正常工作。

覆盖根

我找到了对于 Ubuntu,但不适用于 Debian。除了软件包中的提及blibop-lockfs(“此软件包可以用作 fsprotect 或 overlayroot 的替代品”)外,找不到太多关于它的信息。

使用案例

笔记:我相信这只会分散某些人的注意力,使他们无法以有益的方式回答问题,但是,已经提出了礼貌的请求,我将满足提出问题的用户的好奇心。请不是请提供解决方案回答问题确实如此,谢谢。

我有需要运行的软件,它可能会尝试写入文件系统的不同部分。我需要防止更改,机器在加载软件后重新启动后必须处于与之前相同的状态。例外情况是它确实需要能够写入可移动媒体。

相关内容