Eu tenho uma partição criptografada que gostaria de ser montada como somente leitura. O problema é que não quero que um usuário root possa remontar a partição como leitura-gravação, a menos que ela tenha a chave de criptografia. Eu sei que o root geralmente pode fazer tudo (incluindo recriar a chave de criptografia de um despejo de memória), mas o cryptsetup tem uma opção --readonly
--readonly, -r
set up a read-only mapping.
Como funciona a opção readonly? Ele cria um dispositivo / dev / mapper / foo de forma que foo só possa ser montado somente para leitura? Isso impediria o root de remapear o dispositivo como leitura-gravação (supondo que o root não tenha a chave de criptografia). Se não, existe uma maneira de conseguir isso?
Sei que não há como impedir que o root extraia a chave de criptografia da memória ou copie os dados somente leitura para um local temporário, reformate o dispositivo criptografado e copie os dados somente leitura de volta para o dispositivo como leitura / gravação . O que estou tentando evitar são coisas como mount -o rw /dev/mapper/foo /mnt .
Tags root encryption devices