Linux文件系統的安全保障---Overlayroot！

發布時間：2025-1-7 17:01 發布者：武漢萬象奧科

關鍵詞： Overlayroot

`overlayroot` 是一種使用 OverlayFS 實現的功能，可將根文件系統掛載為只讀，并通過一個臨時的寫層實現對文件系統的修改。這種方法非常適合嵌入式設備或需要保持系統文件完整性和安全性的場景。下文以 RK3568 平臺為例，介紹制作 overlayroot 的詳細步驟。

1. 制作精簡文件系統ramdisk1.1 環境準備

1. 目標系統：確保系統支持 OverlayFS（內核版本 ≥ 3.18）。

2. 工具和依賴：

一個支持 OverlayFS 的 Linux 內核。
`busybox` 或其他必要的系統工具。

1.2 OverlayFS 的基本原理

OverlayFS 將文件系統分為以下兩層：

Lowerdir：只讀的底層文件系統，通常是現有的根文件系統。
Upperdir：可寫的頂層，存儲所有的臨時更改。
Workdir：OverlayFS 的工作目錄，用于支持文件操作。

1.3 制作步驟1.3.1 創建 OverlayFS 配置結構

首先創建一個工作目錄來組織文件系統結構。

mkdir -p /tmp/ramdisk/{bin,sbin,etc,proc,sys,dev,tmp}

bin 和 sbin：存放用戶工具（例如 busybox）。
etc：存放必要的配置文件。
proc、sys、dev：為內核文件系統掛載預留的掛載點。
tmp：用于臨時存儲文件。

將 busybox 和相關依賴文件復制到適當的目錄

1.3.2 配置掛載腳本

在ramdisk 的腳本中配置相關的掛載和優化

root_rw=/userdata #讀寫掛載點

root_ro=/root-ro #只讀文件系統掛載點

ROOTMNT=${rootmnt} # use global name to indicate created outside this

OVERLAYROOT_DEBUG=0

#優化userdata分區自動修復

e2fsck -y /dev/disk/by-partlabel/userdata

tune2fs -O has_journal /dev/disk/by-partlabel/userdata
2. ramdisk.img 鏡像打包和解包制作2.1 打包腳本

創建腳本 pack_ramdisk.sh，將 RAMDisk 內容打包為 ramdisk.img：

#!/bin/bash
cd ramdisk_contents
find .| cpio -o -H newc >../ramdisk.cpio
gzip ../ramdisk.cpio
mv ../ramdisk.cpio.gz ../ramdisk.img
2.2 解包腳本

創建腳本 unpack_ramdisk.sh，將 ramdisk.img 解包到工作目錄：

#!/bin/bash
mkdir ramdisk_contents
cd ramdisk_contents
gunzip -c ../ramdisk.img > ramdisk.cpio
cpio -idv < ramdisk.cpio
rm ramdisk.cpio

通過上面打包解包腳本可以直接修改已經制作好的ramdisk.img鏡像

3. 打包到boot.img3.1 配置項目文件

在項目 defconfig 文件中，添加以下內容：

RK_USE_FIT_IMG=y
RK_BOOT_FIT_ITS="bootramdisk.its"
RK_RAMDISK_IMG="ramdisk.img"

在 rk356x_bsp/device/rockchip/common/scripts/mk-kernel.sh 文件中添加打包邏輯：

                        if[-n "$RK_BOOT_FIT_ITS"; then
                                 if[-z "$RK_ROOTFS_INITRD"; then
                                          run_command \
                                                   "$SCRIPTS_DIR/mk-fitimage.sh" \
                                                   "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_BOOT_IMG" \
                                                   "$RK_BOOT_FIT_ITS" \

                                                "build-$VANXOAK_CUSTOMER_NAME/$RK_KERNEL_IMG" \

                                                   "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_RAMDISK_IMG"

                                 fi

                        fi

4. Kernel 配置與設備樹修改

4.1 設備樹配置修改

修改設備樹文件 chosen 節點，添加 overlayroot 參數：

chosen: chosen {

               //bootargs = "earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTUUID=614e0000-0000 rw rootwait";

               bootargs ="earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTLABEL=rootfs rootfstype=ext4 ro rootwait overlayroot=device:dev=PARTLABEL=userdata,fstype=ext4,mkfs=1 coherent_pool=1m systemd.gpt_auto=0 cgroup_enable=memory swapaccount=1 swiotlb=0x10000 net.ifnames=0";

      };

4.2 修改內核配置

確保內核啟用了 OverlayFS：

CONFIG_OVERLAY_FS=y

5. 測試效果與優化

將更新后的 boot.img 刷寫到開發板，重啟后執行：

df -h

輸出類似以下內容：

root@hd-rk3568:~# df -h

文件系統       容量已用可用已用% 掛載點

udev          963M 8.0K 963M 1%/dev

tmpfs          196M 1.3M 195M 1%/run

/dev/mmcblk0p6 3.2G 3.1G    0 100%/root-ro

/dev/mmcblk0p8 23G 590M 23G 3%/userdata

overlayroot    23G 590M 23G 3%/

添加完上面內容后，更新boot.img到開發板，執行df -h命令可以看到rootfs分區掛載為/root-ro變為只讀分區，userdata分區掛載為overlayroot保存文件系統修改差異部分。若要重置系統狀態，只需清空userdata內容即可。

6. 總結

通過以上步驟，您可以成功為 RK3568 平臺配置 overlayroot。這種設置使得系統文件更加安全，同時提供靈活的更新和重置能力，非常適合嵌入式場景。

本文地址：http://m.qingdxww.cn/thread-880142-1-1.html 【打印本頁】

本站部分文章為轉載或網友發布，目的在于傳遞和分享信息，并不代表本網贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內容、版權和其它問題，我們將根據著作權人的要求，第一時間更正或刪除。

網友評論

貿澤電子有獎問答視頻，答對領10元微信紅包

廠商推薦

快速回復 返回頂部 返回列表

国产毛片a精品毛-国产毛片黄片-国产毛片久久国产-国产毛片久久精品-青娱乐极品在线-青娱乐精品

Linux文件系統的安全保障---Overlayroot！

網友評論

廠商推薦