Dispositivos de bloco somente leitura no Linux (bloqueio de gravações brutas)

Existe alguma maneira de bloquear operações de gravação brutas em um dispositivo de bloco no Linux, assim como o SIP impede que mesmo o root grave diretamente em determinados discos / partições no OS X El Capitan? Isso deve ser algo que não pode ser ignorado pelo root, pelo menos na operação normal (por exemplo, o root pode executar essas tarefas se o Linux for inicializado com um argumento especial ou antes de uma alternância unidirecional ser definida).

Essas duas coisas não contam:

• Montando uma partição somente leitura.
• Conclua a proteção somente leitura de um dispositivo de bloco que também impede operações de gravação no nível do VFS (por exemplo, a imposição somente leitura do dm-verity).

Como isso pode ser realizado? Existe alguma solução existente?