Linux文件系统的安全保障---Overlayroot！-linux运维-PHP中文网

Linux文件系统的安全保障---Overlayroot！

蓮花仙者

发布： 2025-06-26 08:28:28

原创

650人浏览过

overlayroot 是一种利用 overlayfs 实现的功能，可以将根文件系统设置为只读，并通过一个临时的写层来进行文件系统的修改。这种方法非常适合嵌入式设备或需要确保系统文件完整性和安全性的场景。本文将以 rk3568 平台为例，详细介绍如何制作 overlayroot。

Linux文件系统的安全保障---Overlayroot！ 103.png

制作精简文件系统ramdisk 1.1 环境准备
目标系统：确保系统支持 OverlayFS（内核版本 ≥ 3.18）。
工具和依赖：
- 一个支持 OverlayFS 的 Linux 内核。
- busybox 或其他必要的系统工具。

1.2 OverlayFS 的基本原理 OverlayFS 将文件系统分为以下三层：

Lowerdir：只读的底层文件系统，通常是现有的根文件系统。
Upperdir：可写的顶层，用于存储所有的临时更改。
Workdir：OverlayFS 的工作目录，用于支持文件操作。

1.3 制作步骤 1.3.1 创建 OverlayFS 配置结构首先创建一个工作目录来组织文件系统结构。

mkdir -p /tmp/ramdisk/{bin,sbin,etc,proc,sys,dev,tmp}

登录后复制

bin 和 sbin：存放用户工具（例如 busybox）。
etc：存放必要的配置文件。
proc、sys、dev：为内核文件系统挂载预留的挂载点。
tmp：用于临时存储文件。

将 busybox 和相关依赖文件复制到适当的目录。

1.3.2 配置挂载脚本在 ramdisk 的脚本中配置相关的挂载和优化。

root_rw=/userdata   #读写挂载点
root_ro=/root-ro   #只读文件系统挂载点
ROOTMNT=${rootmnt} # use global name to indicate created outside this
OVERLAYROOT_DEBUG=0
#优化userdata分区自动修复
e2fsck -y /dev/disk/by-partlabel/userdata
tune2fs -O has_journal /dev/disk/by-partlabel/userdata

登录后复制

ramdisk.img 镜像打包和解包制作 2.1 打包脚本创建脚本 pack_ramdisk.sh，将 RAMDisk 内容打包为 ramdisk.img：

#!/bin/bash
cd ramdisk_contents
find . | cpio -o -H newc > ../ramdisk.cpio
gzip ../ramdisk.cpio
mv ../ramdisk.cpio.gz   ../ramdisk.img

登录后复制

2.2 解包脚本创建脚本 unpack_ramdisk.sh，将 ramdisk.img 解包到工作目录：

#!/bin/bash
mkdir ramdisk_contents
cd ramdisk_contents
gunzip -c ../ramdisk.img > ramdisk.cpio
cpio -idv

登录后复制

通过以上打包解包脚本，可以直接修改已经制作好的 ramdisk.img 镜像。

打包到 boot.img 3.1 配置项目文件在项目 defconfig 文件中，添加以下内容：

RK_USE_FIT_IMG=y
RK_BOOT_FIT_ITS="bootramdisk.its"
RK_RAMDISK_IMG="ramdisk.img"

登录后复制

在 rk356x_bsp/device/rockchip/common/scripts/mk-kernel.sh 文件中添加打包逻辑：

智谱清言 - 免费全能的AI助手

查看详情

                          if [-n "$RK_BOOT_FIT_ITS"]; then
                             if [-z "$RK_ROOTFS_INITRD"]; then
                                    run_command \
                                         "$SCRIPTS_DIR/mk-fitimage.sh" \
                                         "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_BOOT_IMG" \
                                         "$RK_BOOT_FIT_ITS" \
                                        "build-$VANXOAK_CUSTOMER_NAME/$RK_KERNEL_IMG" \
                                         "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_RAMDISK_IMG"
                             fi
                          fi

登录后复制

Kernel 配置与设备树修改 4.1 设备树配置修改修改设备树文件 chosen 节点，添加 overlayroot 参数：

    chosen: chosen {
                 //bootargs = "earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTUUID=614e0000-0000 rw rootwait";
                 bootargs ="earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTLABEL=rootfs rootfstype=ext4 ro rootwait overlayroot=device:dev=PARTLABEL=userdata,fstype=ext4,mkfs=1 coherent_pool=1m systemd.gpt_auto=0 cgroup_enable=memory swapaccount=1 swiotlb=0x10000 net.ifnames=0";
         };

登录后复制

4.2 修改内核配置确保内核启用了 OverlayFS：

CONFIG_OVERLAY_FS=y

登录后复制

测试效果与优化将更新后的 boot.img 刷写到开发板，重启后执行：

df -h

登录后复制

输出类似以下内容：

root@hd-rk3568:~# df -h
文件系统        容量   已用   可用已用% 挂载点
udev            963M   8.0K   963M    1% /dev
tmpfs           196M   1.3M   195M    1% /run
/dev/mmcblk0p6   3.2G   3.1G     0   100% /root-ro
/dev/mmcblk0p8   23G   590M   23G    3% /userdata
overlayroot      23G   590M   23G    3% /

登录后复制

添加完以上内容后，更新 boot.img 到开发板，执行 df -h 命令可以看到 rootfs 分区挂载为 /root-ro 变为只读分区，userdata 分区挂载为 overlayroot 保存文件系统修改差异部分。若要重置系统状态，只需清空 userdata 内容即可。

总结通过以上步骤，您可以成功为 RK3568 平台配置 overlayroot。这种设置使得系统文件更加安全，同时提供灵活的更新和重置能力，非常适合嵌入式场景。

以上就是Linux文件系统的安全保障---Overlayroot！的详细内容，更多请关注php中文网其它相关文章！