Вопрос такой-как сделать в системе режим чтения диски/систему?
Пояняю: Чтобы это было как live cd -только чтение. после перезагрузки все изменения сбрасывались?
также была возможность включать-отключать 1 кликом или командой
типа проактивной защиты.
не предлагать live CD, Live, DVD, Live флешки и гостевые режимы.
Линукс минт 18.2x64

Вам нужно "откатывать" вообще всё (включая обновление программного обеспечения, системных баз и очистку логов) или просто профиль конкретного пользователя?

Если достаточно "просто профиль", то можно прописать на включение компьютера скрипт из трёх команд
1. rm -r /home/username
2. cp /home/user_backup /home/username
3. chown -r username:username /home/username // изменение владельца профиля (владельцем "эталонного" профиля должен быть другой пользователь во избежание изменений)
4. PROFIT!!!!

--------------------------------------------------------------------
Если же нужно "откатывать" вообще все изменения, то как вариант
Установить систему с вынесением системных разделов в LVM. Оставить в LVM много свободного места.
После настройки системы прописать на включение компьютера скрипт с командами, которые для каждого логического раздела LVM выполнят следующие действия
1. Проверка наличия в группе LVM раздела-"снимка"
2. Если снимок существует, то
2.1. отмонтировать раздел (для / - перемонтировать в режим "только чтение")
2.2. выполнить слияние снимка с разделом (это действие возвращает раздел в исходное состояние)
2.3. примонтировать раздел (для / - перемонтировать в режим "чтение-запись")
3. Создать новый снимок

Нет. Если я сделаю первый вариант с правами доступа так, куча сервисов и програм перестанут работать,ввиду того что не смогут записать свои данные.
Второй пример вообще не понятный мне. Если работать с live usb там домашка и ччто-то еще подмонтируется в оперативную память. Вот тока как сделать чтобы читалось,но не писатьлось в оперативную?

Вы вообще в Linux'е разбираетесь?

Первый вариант - самый нормальный.
Собственно говоря, от обычной работы Linux его отличает только восстановление каталога пользователя при каждой перезагрузке.

Второй пример вообще не понятный мне. »
А вот мне вообще непонятны ваши замечания ко второму варианту :)

Если я уберу права записи на все папки (хотябы досвшняя) фирефокс и прочие програмы не смогут работать
Второй вариант не удобен так как каждый раз будет переписывать по 20 гигов на SSD (да хоть и не SSD, это занимать бдет час)

Акутальная тема

Костя_Лу@vk, вы хотите, что пользователь мог работать, но при каждой загрузке у него появлялась "девственно чистая" домашняя директория?
Диск в оперативной памяти вам подойдет?

https://habrahabr.ru/post/205158/
https://subinsb.com/how-to-use-hard-disk-as-ram-in-ubuntu-linux/

Кратко суть:
В оперативной памяти ПК (если ее достаточно) выделяется область, воспринимаемая системой как носитель данных.
В него мапируется (адресуется) пространство /home (или иное)
При перезагрузке данные из оперативной памяти стираются.

Почитаю, но речь не шла именно о домашней, почита попробую под / сделать

Почитаю, но речь не шла именно о домашней, почита попробую под / сделать »
Расскажите, нах... зачем это вам нужно, и я объясню вам, как без этой ... обойтись.

Чтобы обезопасить систему от левых изменеий тупых юзеров,которые ставят программы, от таких программ и от мусора.
Пользователь поставил прогу,поработал, после ребута всё как было ДО. Тоесть как на флешке USB Live режим-где-то в оперативке хранит изменения,но читать с HDD. Темболее SSD стоит,неохота есго постояно дербанить востановлениями из systemback

изменеий тупых юзеров, которые ставят программы »
У них что, права root есть или они входят в группу wheel?

да есть. но это не важно. нужно чтобы после ребута все было чисто

да есть. но это не важно. »
Важно.
Уберите у них эти права, и все проблемы уйдут сами собой.

А способ восстановления папки профиля пользователя я вам изложил в первом же сообщении.

Уже существующие программы требуют рут. напримет синпатик и тп.
Еще раз говорю что права это не выход из ситуации и не давать рут права пользователю тоже.

Уже существующие программы требуют рут. напримет синпатик и тп. »
Нахрена вашим пользователям права администраторов?
Нахрена вашим пользователям запускать менеджер установки/удаления программ? Это обязанность администратора.

Какая разница кто чем работает, вопрос тему-как сделать чтобы изменеия не писались на диск. даже root

Если мне не изменяет склероз, железный способ отключить запись на диски на юниксах был только в *BSD. Называется securelevel (https://www.freebsd.org/cgi/man.cgi?query=securelevel&apropos=0&sektion=0&manpath=FreeBSD+11.1-RELEASE&arch=default&format=html).

The kernel runs with five different security levels. Any super-user
process can raise the level, but no process can lower it. The security
levels are:

-1 Permanently insecure mode - always run the system in insecure mode.
This is the default initial value.

0 Insecure mode - immutable and append-only flags may be turned off.
All devices may be read or written subject to their permissions.

1 Secure mode - the system immutable and system append-only flags may
not be turned off; disks for mounted file systems, /dev/mem and
/dev/kmem may not be opened for writing; /dev/io (if your platform
has it) may not be opened at all; kernel modules (see kld(4)) may
not be loaded or unloaded. The kernel debugger may not be entered
using the debug.kdb.enter sysctl. A panic or trap cannot be forced
using the debug.kdb.panic and other sysctl's.

2 Highly secure mode - same as secure mode, plus disks may not be
opened for writing (except by mount(2)) whether mounted or not.
This level precludes tampering with file systems by unmounting
them, but also inhibits running newfs(8) while the system is multi-
user.

In addition, kernel time changes are restricted to less than or
equal to one second. Attempts to change the time by more than this
will log the message ``Time adjustment clamped to +1 second''.

3 Network secure mode - same as highly secure mode, plus IP packet
filter rules (see ipfw(8), ipfirewall(4) and pfctl(8)) cannot be
changed and dummynet(4) or pf(4) configuration cannot be adjusted.

Для Debian и debian-подобных есть такие программы - Lethe, fsprotect, bilibop-lockfs. "Замораживают" раздел - он будет доступен только для чтения. Все изменения пишутся в RAM. Если что-то надо обязательно сохранить - то записывать на незамороженый раздел или флешку.

При установке Lethe grub.cfg будет изменен автоматически: в меню будет 3 пункта - обычный старт (без заморозки), с заморозкой (RAM поделена пополам - для обычного использования и для файла изменений) и обычное восстановление системы.

В fsprotect и bilibop-lockfs помимо режима auto (RAM поделена пополам) можно задать нужный размер для файла изменений. Файл /boot/grub/grub.cfg надо изменить вручную (от root).

После перезагрузки системы все изменения на "замороженном" разделе исчезают. Т.е. имеем управляемый "день сурка".
Надо обновить систему - загрузиться в обычном режиме.
Надо включить "день сурка" - загрузиться в "замороженном" режиме.

Ссылки:
https://sourceforge.net/projects/lethe/
https://sourceforge.net/projects/lethe/files/lethe/0.3x/lethe_0.34_all.deb/download
Install Lethe on Ubuntu 14.04 LTS and Debian 8 Jessie
https://sourceforge.net/p/lethe/discussion/944269/thread/54a279ec/?limit=25#1db8
Руководство по установке Lethe - официальный сайт Lihuen
http://lihuen.linti.unlp.edu.ar/index.php/Gu%C3%ADa_de_instalaci%C3%B3n_de_Lethe

https://sourceforge.net/projects/fsprotect/
https://packages.ubuntu.com/artful/all/fsprotect/download
/boot/grub/grub.cfg
fsprotect=auto fsprotect=4G fsprotect=12G

lock filesystems and write changes into RAM
https://packages.ubuntu.com/ru/zesty/bilibop-lockfs
/boot/grub/grub.cfg
lockfs=auto lockfs=4G lockfs=12G

P.S. Lethe и fsprotect нормально работали с Debian 6-7 и Ubuntu 10.04-12.04, а также с первыми редакциям Debian 8.
Но пару лет назад после очередного обновления ядра Debian 8 перестал с ними работать.
Для сегодняшних версий Debian/Ubuntu надо использовать bilibop-lockfs.