Meu entendimento é que o alvo dm-verity é somente leitura, então não há como Yum ou qualquer outro front-end de RPM poder instalar um novo pacote no dispositivo de bloco habilitado para dm-verity?
Mesmo que algum mecanismo seja usado para atualizar os arquivos de um único pacote em uma E / S de dispositivo de bloco protegido por dm verity, esses blocos falharão, a menos que os hashes desses blocos correspondentes sejam atualizados?