Experiment Linux och säkerhet

Det finns linuxversioner som är tänkta att helt rymmas i ram och det lär bli inte så mycket snabbare än det, linux är inte win
Däremot kan man väl fundera på vad som är en vettig säkerhetsnivå mot hur mycket bekvämlighet man är villig att avstå.

Värt att notera är att SD-kortet i sig inte innehåller någon controller, utan den sitter väl som jag förstår i kortläsaren. P.g.a. detta är inte read-only-brytaren inte nödvändigtvis någon säkerhet i sig då det enda den gör är att skicka en instruktion till kortläsaren att den inte får ändra på innehållet, något som kortläsaren själv kan välja att följa eller ignorera. Beroende på hur tillverkaren av kortläsaren ser på detta så är det alltså inte säkert att det fungerar som du tror. I vissa fall kan även denna funktionalitet ändras genom att man kontrollerar firmware för kortläsaren via datorn.

Läs mer om detta på https://en.wikipedia.org/wiki/Secure_Digital#Write-protect_no...

Det är med andra ord lite samma problem som med webcams, där indikatorlampan som tänds när kameran är aktiv i vissa fall (tyvärr allt för ofta) går att stänga av genom firmware, beroende på hur den är tillverkad.

Annars bör du kunna uppnå likvärdig säkerhet genom att montera delar av filsystemet som read-only vid boot, och en del som RAMDisk, även på en hårddisk/SSD. När du ska ändra något bootar du om och monterar tillfälligt som read/write.

Precis!
Man kan vid boot (t.ex. grub) välja att montera ett Linux (-eller Unix) -filsystem som "ro" (Read-Only).
Därmed är det immunt mot ev. förändringar. Alla förändringar kastas vid en omstart.
Du kan också lägga till ett start-up entry i grub som tillåter dig att göra ändringar ex. uppdatringar när du väljer det boot alternativet, som i nedan forumpost:

https://unix.stackexchange.com/questions/282682/ubuntu-16-04-with-read-only-filesystem-and-writable-layer

För ovan behövs inget speciellt media utan det skall fungera på vilken hårddisk eller lagringsmedia som helst.
Hårddisk/SSD är dock att föredra p.g.a. snabbare uppstart än ett USB 2.0 minne/SD-kort.
USB3-minnen kan däremot fungera bra p.g.a. snabb läshastighet.

Då Unix/Linux system i regel ger en mindre "footprint" och lever mer i RAM-minnet än ex. Windows, kan man komma undan relativt smärtfritt även med ett ro filsystem.
Du lär ändå kunna utföra vissa uppdateringar av OS, installera program osv. som inte kräver en omstart av systemet (då en omstart skulle radera alla ändringar efter filsystemet monterades som read only)
Förändringarna kommer dock enbart leva i din session i ramminnet och inte kunna skrivas till disken.
Ungefär som en LiveCD/DVD/USB skulle fungera, med fördelen att du kan uppdatera samt göra ändringar i systemet vid behov.

Förlåt min okunskap i frågeställningen men jag ser inte riktigt problemet din lösning är menad att lösa?

Linux har ganska mycket strängare rättigheter per default.

Du kräver Root rättigheter för att modifiera alla filer som inte är i ~/
Att vara administratör i linux är en väsentlig skillnad mot i windows då du alltid behöver ange lösenord för att kalla sudo privilegier per default, till skillnad från windows där en administratör kan göra lite som dem vill utan att behöva autentisera sig vid annat än inloggning.

Är det saker som dirty cow du är ute att skydda dig mot?

Det första du bör göra är att kryptera ditt filsystem, annars kan varenda lirare bara stjäla din disk och läsa data, använda sig av chroot för att sätta root passwd eller bara kalla single init=/bin/bash i kernel line i GRUB för att boota in i emergency mode, mounta systemdisk till rw och sedan använda passwd.

Konfigurera din brandvägg, linux har iptables, men ufw/gufw kan användas för att göra konfiguration enklare.
Se till att ditt system är väl patchat.

Detta kommer skydda dig mot nästintill allt. För den sista biten är du en måltavla för en organisation med stora ekonomiska resurser.

Är du riktigt seriös kan du confa SElinux.

Att sitta med RO FS ser jag ingen riktig användning av då det inte borde vara några problem att bara flicka den lilla knappen på ditt minne om dem får fysisk access.
Kan dom enkelt få access till din burk remote så har du antingen kassa brandväggsregler eller så är det en legit exploit. Att sedan använda en annan legit exploit för att få root access för att senare installera spyware/stjäla dina semesterbilder kommer inte hända. Semsterbilderna kan dem stjäla i vilket fall då du kan läsa all data ur ett RO system.
Du kastar inte sådana här exploits utan signifikant ekonomisk vinning, det hade varit bättre att sälja av dem till någon som betalar än att hacka privatpersoner. Har du en hög statlig position som faktiskt kan göra dig till en måltavla så överlämna det till experter.

Tacka vet jag gamla goda floppys - där strömbrytaren för skrivskyddet bokstavligen bröt skrivslingan till läshuvudet - där fans det ingen chans alls att hacka någon firmware och kunna skriva fast det var skrivskyddat.

SD-minnen har visst en kontroller i sig med interface-hantering, minnesmanagement, wearlevling etc., men den råder inte över skrivskyddet, det är bara en plastflärp på kapslingen som styr en brytare/optosensor till läsar-kontrollen och sedan är det upp till firmwaren i denna vad som händer med det - är firmwaren omskrivningsbar (flash-minne) så kan den givetvis ändras att ignorera brytare i fråga.

mini och micro-SD har ingen plastflärp som kan instruera läsaren att den skall vara read only.

Det enda som är read only på riktigt i modernare lagringsmedia är CD/DVD-rom, BD-rom och CD/DVD+/-R-skivor samt BD-R

Som en anekdot så utnyttjas detta till ens fördel om man kör CHDK — alternativ programvara till kameror från Canon. Man kan göra ett SD-kort bootbart för att ladda CHDK genom att haka in sig på den mekanism som tillåter firmware-uppdateringar, men kameran ser till att inaktivera bootbarheten vid första användning. Ifall man dock skrivskyddar kortet så misslyckas kameran med att nolla bootsektorn, vilket gör att kortet är fortsatt bootbart. Samtidigt råkar det vara så att kamerorna ignorerar inställningen för skrivskydd när de skriver bilder till SD-kortet, så det är ingen förlust i funktion.

Det är väl säkrare, men ingen garanti för att det skyddar förrän du analyserat hur minnet och dess skrivskyddsfunktion är konstruerad. Så antagligen olika från USB-pinne till USB-pinne.

@phz & @xxargs: Tackar för intressant läsning