Pokud se na problém podívám maličko z boku:
Příbuzný problém je
read-only root. Resp. možná by stačil read-mostly root. Debian (včetně devítky) se dá poměrně malými úpravami přimět k tomu, aby s rootfs na flashce nepracoval zbytečně intenzivně. Případně mountnout rootfs flashku read only, ale to pak budou brečet některé aplikace (zejména pod X, včetně běžných window managerů atd.). Dá se mountnout /var na tmpfs, případně i jednotlivým aplikacím symlinknout některé adresáře do /tmp (na tmpfs). Třeba HTTP browser cache a celý profile (testován Firefox a ostrý Chrome). Je s tím trochu skriptování.
Tzn. žádnou live ojebávku se squashfs, ale hezky naostro mountnout USB flashku jako root, s nějakým normálním filesystémem - jenom na ni moc nezapisovat, případně si to posichrovat "ro" opšnou ve fstabu (případně i na kernel command line, pokud se pamatuju).
Další problém je, že já to mám cca ozkoušené jenom na SATA flashkách = na flashkách, připojených přes konvenční řadič disku. S USB bejval ten problém, že se jeho strom inicializoval až později, poté co jádro mountnulo finální rootfs. Mám delší dobu v plánu dotáhnout, jak tenhle problém obejít. Zhruba mě napadá, nastrkat potřebné USB moduly do initrd (EHCI/XHCI, mass storage a jejich závislosti) a pokud ani pak jádro resp. skripty v initrd nenajdou root partition, tak se v tom ještě trochu povrtat.
Za oddělený problém považuju, že klasické USB klíčenky mívají skutečně ojebaný wear leveling - a taky co do IOps budou dost pomalé. Tady by se dalo buď koukat po průmyslových USB flashkách, nebo zamačknout slzu a pokud je požadavek na "přenositelný USB harddisk" tak použít nějakou SATA flashku s USB adaptérem... Ale pokud ty zápisy opravdu uškrtíte, tak by slušná značková konzumní USB klíčenka neměla mít problém.
Teď na to nemám čas, ale pokud se k tomu dostanu a budu mít nějaké výsledky, tak to sem přilepím.
Mimochodem... ono se dá bootovat ze zašifrovaného kořenového oddílu? Ptám se jako lama, nikdy mě to nezajímalo. Tzn. pokud by se mi povedlo mountovat root přímo z USB (viz výše) tak šifrování je opět jenom "kolmý" problém, stejný jako při použití konvenčních diskových řadičů.