Czy istnieje jakaś bezpieczna/pewna możliwość ustawienia dysku w tryb tylko do odczytu, tak aby nie było programowej możliwości zmiany tego ustawienia?
Mam taki hobbistyczny projekt, polegający na maksymalnym zabezpieczeniu komputera przez różnymi atakami. Zastanawiam się nad zabezpieczeniem partycji rozruchowej /boot, obecnie jest ona zaszyfrowana, co zabezpiecza ją przed “evil maid”, ale co gdy komputer jest włączony? Chciałbym aby możliwość zapisu na tej partycji była wyłącznie po aktywowaniu tej możliwości w sposób czysto fizyczny, idealnym rozwiązaniem była by zworka na płycie głównej/dysku, ale takiej nie mam. Czy są jakieś sposoby aby uzyskać taką funkcjonalność.
Moja pierwsza myśl to wykorzystać kartę SD, bo mają one fizyczny przełącznik ustawiający blokadę zapisu, ale jak się okazuje jest to tylko flaga, którą programowo można zignorować. Dyskietki miały kiedyś podobny przełącznik, ale mają one za małą pojemność…
Faktycznie hobby. Jak chcesz komputer zabezpieczać to najpierw poczytaj sobie o IME, ATM. Jak to działa. Co to MINIX3. Potem zdecydujesz czy w ogóle można się zabezpieczyć. Łaty są robione ale to wszystko ma zaciemniony kod i jest praktycznie na zewnątrz nie udokumentowane. Działa nawet jak wyłączysz komputer.
A LoJax. Malware bios-uefi.
Oprócz tego jest jeszcze malware bezplikowe. Bardzo często nie ma potrzeby zapisywania czegokolwiek na dysku. Działa na ram-ie. Trudno wykryć. A przecięż od czasu do czasu na tym dysku trzeba cos zapisać.
Co do przestawiania dysku systemowego w tryb “tylko do odczytu” to odradzam. System odczytuje i zapisuje. Nie tylko z ram. Ma swoje pliki tymczasowe. Ma plik stronicowania (teoretycznie można wywalić ale zalecane to nie jest)