Sim, normalmente você não deseja montar / como somente leitura. Eu recomendaria colocar / usr em sua própria partição e, em seguida, montá-la como somente leitura, uma vez que ela contém a maioria dos seus arquivos executáveis, que você gostaria de proteger contra a manipulação de binários. Você também pode executar o lsof para determinar quais processos estão sendo gravados nos diretórios sob /.