Linux文件系統的安全保障---Overlayroot!

發(fā)布時(shí)間:2025-1-7 17:01    發(fā)布者:武漢萬(wàn)象奧科
關(guān)鍵詞: Overlayroot
`overlayroot` 是一種使用 OverlayFS 實(shí)現的功能,可將根文件系統掛載為只讀,并通過(guò)一個(gè)臨時(shí)的寫(xiě)層實(shí)現對文件系統的修改。這種方法非常適合嵌入式設備或需要保持系統文件完整性和安全性的場(chǎng)景。下文以 RK3568 平臺為例,介紹制作 overlayroot 的詳細步驟。
1. 制作精簡(jiǎn)文件系統ramdisk1.1   環(huán)境準備
1. 目標系統:確保系統支持 OverlayFS(內核版本 ≥ 3.18)。
2. 工具和依賴(lài):
  • 一個(gè)支持 OverlayFS 的 Linux 內核。
  • `busybox` 或其他必要的系統工具。

1.2   OverlayFS 的基本原理
OverlayFS 將文件系統分為以下兩層:
  • Lowerdir:只讀的底層文件系統,通常是現有的根文件系統。
  • Upperdir:可寫(xiě)的頂層,存儲所有的臨時(shí)更改。
  • Workdir:OverlayFS 的工作目錄,用于支持文件操作。

1.3   制作步驟1.3.1    創(chuàng )建 OverlayFS 配置結構
首先創(chuàng )建一個(gè)工作目錄來(lái)組織文件系統結構。
mkdir -p /tmp/ramdisk/{bin,sbin,etc,proc,sys,dev,tmp}
  • bin 和 sbin:存放用戶(hù)工具(例如 busybox)。
  • etc:存放必要的配置文件。
  • proc、sys、dev:為內核文件系統掛載預留的掛載點(diǎn)。
  • tmp:用于臨時(shí)存儲文件。

將 busybox 和相關(guān)依賴(lài)文件復制到適當的目錄
1.3.2   配置掛載腳本
在ramdisk 的腳本中配置相關(guān)的掛載和優(yōu)化
root_rw=/userdata   #讀寫(xiě)掛載點(diǎn)

root_ro=/root-ro   #只讀文件系統掛載點(diǎn)

ROOTMNT=${rootmnt} # use global name to indicate created outside this

OVERLAYROOT_DEBUG=0

#優(yōu)化userdata分區自動(dòng)修復

e2fsck -y /dev/disk/by-partlabel/userdata

tune2fs -O has_journal /dev/disk/by-partlabel/userdata
2. ramdisk.img 鏡像打包和解包制作2.1 打包腳本
創(chuàng )建腳本 pack_ramdisk.sh,將 RAMDisk 內容打包為 ramdisk.img:
#!/bin/bash
cd ramdisk_contents
find .| cpio -o -H newc >../ramdisk.cpio
gzip ../ramdisk.cpio
mv ../ramdisk.cpio.gz   ../ramdisk.img
2.2 解包腳本
創(chuàng )建腳本 unpack_ramdisk.sh,將 ramdisk.img 解包到工作目錄:
#!/bin/bash
mkdir ramdisk_contents
cd ramdisk_contents
gunzip -c ../ramdisk.img > ramdisk.cpio
cpio -idv < ramdisk.cpio
rm ramdisk.cpio
通過(guò)上面打包解包腳本可以直接修改已經(jīng)制作好的ramdisk.img鏡像
3. 打包到boot.img3.1 配置項目文件
在項目 defconfig 文件中,添加以下內容:
RK_USE_FIT_IMG=y
RK_BOOT_FIT_ITS="bootramdisk.its"
RK_RAMDISK_IMG="ramdisk.img"
在 rk356x_bsp/device/rockchip/common/scripts/mk-kernel.sh 文件中添加打包邏輯:
                          if[-n "$RK_BOOT_FIT_ITS"; then
                                   if[-z "$RK_ROOTFS_INITRD"; then
                                            run_command \
                                                     "$SCRIPTS_DIR/mk-fitimage.sh" \
                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_BOOT_IMG" \
                                                     "$RK_BOOT_FIT_ITS" \

                                                    "build-$VANXOAK_CUSTOMER_NAME/$RK_KERNEL_IMG" \

                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_RAMDISK_IMG"

                                   fi

                          fi

4. Kernel 配置與設備樹(shù)修改
4.1 設備樹(shù)配置修改
修改設備樹(shù)文件 chosen 節點(diǎn),添加 overlayroot 參數:
    chosen: chosen {

                  //bootargs = "earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTUUID=614e0000-0000 rw rootwait";

                  bootargs ="earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTLABEL=rootfs rootfstype=ext4 ro rootwait overlayroot=device:dev=PARTLABEL=userdata,fstype=ext4,mkfs=1 coherent_pool=1m systemd.gpt_auto=0 cgroup_enable=memory swapaccount=1 swiotlb=0x10000 net.ifnames=0";



         };
4.2 修改內核配置
確保內核啟用了 OverlayFS:
CONFIG_OVERLAY_FS=y
5. 測試效果與優(yōu)化
將更新后的 boot.img 刷寫(xiě)到開(kāi)發(fā)板,重啟后執行:
df -h
輸出類(lèi)似以下內容:
root@hd-rk3568:~# df -h

文件系統        容量   已用   可用已用% 掛載點(diǎn)

udev            963M   8.0K   963M    1%/dev

tmpfs           196M   1.3M   195M    1%/run

/dev/mmcblk0p6   3.2G   3.1G     0   100%/root-ro

/dev/mmcblk0p8   23G   590M   23G    3%/userdata

overlayroot      23G   590M   23G    3%/
添加完上面內容后,更新boot.img到開(kāi)發(fā)板,執行df -h命令可以看到rootfs分區掛載為/root-ro變?yōu)橹蛔x分區,userdata分區掛載為overlayroot保存文件系統修改差異部分。若要重置系統狀態(tài),只需清空userdata內容即可。

6. 總結
通過(guò)以上步驟,您可以成功為 RK3568 平臺配置 overlayroot。這種設置使得系統文件更加安全,同時(shí)提供靈活的更新和重置能力,非常適合嵌入式場(chǎng)景。

本文地址:http://selenalain.com/thread-880142-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页