Eu tenho procurado por soluções para Linux que possam desabilitar / negar tentativas de gravar diretamente em dispositivos de bloco - de preferência apenas determinados como o disco de inicialização (como com o SIP da Apple) - enquanto ainda permite gravações no nível do sistema de arquivos.
O grsecurity é o primeiro projeto que achei que tinha essa solução e é de onde estou tirando a ideia. O problema deles é que eu não preciso (nem me importo) com o resto do que ele fornece e que é muito extenso. Qualquer dispositivo de bloco montado somente para leitura ou desmontado será ele próprio somente leitura (isto é, você não pode executar dd if=/dev/zero of=/dev/sda1 ) e eles não podem ser (re) montados em leitura-gravação se forem assim em o tempo de ativar a proteção. Olhando para o seu código, eu consegui escrever um módulo do kernel (e um patch de kernel com uma entrada sysctl unidirecional) que fez a mesma coisa. Mais tarde, modifiquei o módulo do kernel para bloquear somente operações de gravação brutas para /dev/sda e /dev/sda1 com base no nome. Em seguida, reescrevi novamente para bloquear apenas as gravações com base no número principal, pois não sabia como lidar com caminhos não canônicos.
Eu abandonei o kernel porque um módulo é muito mais fácil, mas seria ainda mais fácil se eu soubesse escrever código que pudesse determinar o dispositivo de inicialização e seu pai para que eu não precisasse codificar os números. Por isso, procurei uma solução com o Google, pois imaginei que seria uma ideia comum (sem o direcionamento do disco de inicialização). Meus resultados foram apenas sobre dispositivos brutos, bloqueadores de gravação para análise forense e IO bruto no que se refere à memória. Qual seria a terminologia usada para descrever um sistema que proíbe escrever diretamente em dispositivos de armazenamento de dados?
Tags security linux block-device