我有一个加密分区,我想将其安装为只读。问题是我不希望 root 用户能够将分区重新挂载为读写,除非他们拥有加密密钥。我知道 root 通常可以执行所有操作(包括从内存转储重新创建加密密钥),但 cryptsetup 有一个 --readonly 选项
--readonly, -r
set up a read-only mapping.
只读选项如何工作?它是否创建一个设备 /dev/mapper/foo 使得 foo 只能以只读方式安装?这是否会阻止 root 将设备重新映射为读写(假设 root 没有加密密钥)。如果没有,有办法实现这一点吗?
我知道没有办法阻止 root 从内存中提取加密密钥或将只读数据复制到临时位置、重新格式化加密设备以及将只读数据以读写方式复制回设备。我试图阻止的是类似的事情mount -o rw /dev/mapper/foo /mnt
。