読み取り専用でマウントする暗号化されたパーティションがあります。問題は、rootユーザーが暗号化キーを持たない場合は、読み取り/書き込みでパーティションを再マウントできないようにしたいということです。ルートは通常、すべての操作(メモリダンプで暗号化キーの再生成を含む)を実行できることを認識していますが、cryptsetupには --readonly オプションがあります。
--readonly, -r
set up a read-only mapping.
読み取り専用オプションはどのように機能しますか? fooが読み取り専用でのみマウントできるように、/dev/mapper/fooデバイスを作成しますか?これにより、ルートがデバイスを読み書きに再マップするのを防ぐことができます(ルートに暗号化キーがないと仮定)。そうでなければこれを達成する方法はありますか?
ルートがメモリから暗号化キーを抽出したり、読み取り専用データを一時的な場所にコピーしたり、暗号化されたデバイスを再フォーマットしたり、読み取り専用データを読み取り/書き込みデバイスにコピーしたりするのを防ぐ方法はありません。私が止めようとしているのはそうですmount -o rw /dev/mapper/foo /mnt。