SIPがルートがOS X El Capitanの特定のディスク/パーティションに直接書き込むのを防ぐことができるように、Linuxでブロックデバイスへの生の書き込みを防ぐ方法はありますか?少なくとも通常の動作では、ルートがそれをバイパスすることはできません(たとえば、Linuxが特別なパラメータで起動したり、一種の一方向スイッチを設定する前に、ルートがこれらのタスクを実行できます)。
次の 2 つは含まれません。
- パーティションを読み取り専用でマウントします。
- VFSレベルの書き込み操作(例:dm-verityの読み取り専用の適用)も防止するブロックデバイスの完全な読み取り専用保護です。
これはどのように達成できますか?既製のソリューションがありますか?