我正在寻找一种方法来“保护”Linux 操作系统免受可能行为不当的(根)用户的侵害。
我的威胁模型是大学生,可以访问桌面的 root 密码(处理网络配置、安装软件包等),但无法访问 UEFI,我的目标是能够在简单重启后将系统恢复到原始状态(而无需重新同步整个系统)。
在我看来,如果我要限制 root 对磁盘块设备的读写访问权限,并以某种方式(也许使用 SELinux?)阻止 root “删除”此覆盖,则整个系统上的 RAM 支持覆盖可能会允许这种行为。
这种技术 / 设置是否有名称,可以让我在 Linux 上找到有关执行此操作的资源,例如 Ubuntu?这是否容易实现,还是考虑到需要对设备实施的所有限制将是一场噩梦?