有什么方法可以阻止对 Linux 上的块设备的原始写入操作,就像 SIP 甚至可以阻止 root 直接写入 OS X El Capitan 上的某些磁盘/分区一样?这应该是 root 无法绕过的,至少在正常操作中是这样(例如,如果 Linux 使用特殊参数启动或在设置某种单向切换之前,root 可以执行这些任务)。
这两件事不算:
- 以只读方式挂载分区。
- 块设备的完整只读保护,还可以防止 VFS 级别的写入操作(例如 dm-verity 的只读强制执行)。
怎样才能实现呢?有现成的解决方案吗?
Linux 上的只读块设备(阻止原始写入)