TL; DR
Não faça isso, a menos que você tenha requisitos de auditoria específicos. Geralmente, é mais problema do que vale a pena.
Explicação
A única conta que deve ter acesso de gravação a / boot é raiz. Se você tem root, você pode desarmar bits imutáveis e praticamente fazer o que quiser de qualquer maneira.
A principal desvantagem de montar / inicializar somente leitura, configurar bits imutáveis ou qualquer coisa semelhante é que você precisará desfazer essas configurações toda vez que atualizar seu kernel ou gerenciador de inicialização. É muito mais provável que isso te atrapalhe do que oferecer segurança significativa.
Alternativas
Dependendo do que você realmente está tentando fazer, você pode ter algumas alternativas. Por exemplo:
- Garantir que / boot esteja em uma partição separada que raramente é gravada é uma boa ideia se você estiver preocupado com a corrupção do sistema de arquivos.
- Validando periodicamente o conteúdo de / boot com Tripwire ou debuntos , especialmente quando se compara com hashes armazenados em mídias separadas somente para leitura, é uma boa medida de segurança se você estiver preocupado com adulterações.
- Montar / inicializar somente leitura e, depois, ter seu gerenciador de pacotes montando-o durante as atualizações, pode ser útil.
Remontando partições somente leitura durante atualizações do Apt
Como exemplo, a última alternativa, você pode configurar / boot read-only em seu / etc / fstab, então adicionar algo similar ao seguinte em seu /etc/apt/apt.conf em sistemas baseados em Debian:
DPkg {
Pre-Invoke { "mount -o remount,rw /boot"; };
Post-Invoke {
"test ${NO_APT_REMOUNT:-no} = yes ||
mount -o remount,ro /boot ||
true";
};
};
Isso manterá / inicializar somente leitura, exceto durante as atualizações. Obviamente, você precisará fazer algo diferente se não estiver usando o gerenciador de pacotes apt, ou se o acima não funcionar por algum outro motivo.