您可以创建 root 无法写入(或重新安装)的只读加密分区吗?

您可以创建 root 无法写入(或重新安装)的只读加密分区吗?

我有一个加密分区,我想将其安装为只读。问题是我不希望 root 用户能够将分区重新挂载为读写,除非他们拥有加密密钥。我知道 root 通常可以执行所有操作(包括从内存转储重新创建加密密钥),但 cryptsetup 有一个 --readonly 选项

--readonly, -r
          set up a read-only mapping.

只读选项如何工作?它是否创建一个设备 /dev/mapper/foo 使得 foo 只能以只读方式安装?这是否会阻止 root 将设备重新映射为读写(假设 root 没有加密密钥)。如果没有,有办法实现这一点吗?

我知道没有办法阻止 root 从内存中提取加密密钥或将只读数据复制到临时位置、重新格式化加密设备以及将只读数据以读写方式复制回设备。我试图阻止的是类似的事情mount -o rw /dev/mapper/foo /mnt

相关内容