Linuxの読み取り専用ブロックデバイス(生の書き込みを防止)

Linuxの読み取り専用ブロックデバイス(生の書き込みを防止)

SIPがルートがOS X El Capitanの特定のディスク/パーティションに直接書き込むのを防ぐことができるように、Linuxでブロックデバイスへの生の書き込みを防ぐ方法はありますか?少なくとも通常の動作では、ルートがそれをバイパスすることはできません(たとえば、Linuxが特別なパラメータで起動したり、一種の一方向スイッチを設定する前に、ルートがこれらのタスクを実行できます)。

次の 2 つは含まれません。

  • パーティションを読み取り専用でマウントします。
  • VFSレベルの書き込み操作(例:dm-verityの読み取り専用の適用)も防止するブロックデバイスの完全な読み取り専用保護です。

これはどのように達成できますか?既製のソリューションがありますか?

関連情報