找回密码
 注册
关于网站域名变更的通知
查看: 284|回复: 1
打印 上一主题 下一主题

Linux文件系统的安全保障---Overlayroot!

[复制链接]

该用户从未签到

跳转到指定楼层
1#
 楼主| 发表于 2025-1-7 17:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

EDA365欢迎您登录!

您需要 登录 才可以下载或查看,没有帐号?注册

x

`overlayroot` 是一种使用 OverlayFS 实现的功能,可将根文件系统挂载为只读,并通过一个临时的写层实现对文件系统的修改。这种方法非常适合嵌入式设备或需要保持系统文件完整性和安全性的场景。下文以 RK3568 平台为例,介绍制作 overlayroot 的详细步骤。
1. 制作精简文件系统ramdisk1.1   环境准备
1. 目标系统:确保系统支持 OverlayFS(内核版本 ≥ 3.18)。
2. 工具和依赖:
  • 一个支持 OverlayFS 的 Linux 内核。
  • `busybox` 或其他必要的系统工具。

    ; ?/ g2 T. A8 X6 A' x' L7 R+ h* X
1.2   OverlayFS 的基本原理
OverlayFS 将文件系统分为以下两层:
  • Lowerdir:只读的底层文件系统,通常是现有的根文件系统。
  • Upperdir:可写的顶层,存储所有的临时更改。
  • Workdir:OverlayFS 的工作目录,用于支持文件操作。
    * ]4 ~2 U$ _3 p% j+ T) y/ _  {
1.3   制作步骤1.3.1    创建 OverlayFS 配置结构
首先创建一个工作目录来组织文件系统结构。
mkdir -p /tmp/ramdisk/{bin,sbin,etc,proc,sys,dev,tmp}
  • bin 和 sbin:存放用户工具(例如 busybox)。
  • etc:存放必要的配置文件。
  • proc、sys、dev:为内核文件系统挂载预留的挂载点。
  • tmp:用于临时存储文件。

    ! O% }  n/ a6 j. P
将 busybox 和相关依赖文件复制到适当的目录
1.3.2   配置挂载脚本
在ramdisk 的脚本中配置相关的挂载和优化
root_rw=/userdata   #读写挂载点
0 s8 l, _4 b+ f3 q6 |: D, R( q1 F  B( r7 `
root_ro=/root-ro   #只读文件系统挂载点
3 E5 t: Q. s6 |$ p
$ H# t  e! @. Z2 s. o: lROOTMNT=${rootmnt} # use global name to indicate created outside this
7 j1 P! I' ~7 a' X
& F: T+ U" M6 A$ w. G( gOVERLAYROOT_DEBUG=0* {5 _- m5 s+ l( u
. @: |: h" S2 G! g8 g- G
#优化userdata分区自动修复, \4 A: h' R- e% @) P

  m( _; u& \  G! ]e2fsck -y /dev/disk/by-partlabel/userdata3 {2 U4 H- i6 I6 `) _& g
. S: R3 l% T2 Y6 u- H1 N
tune2fs -O has_journal /dev/disk/by-partlabel/userdata! T  `: [  p" D1 ?& \* E
2. ramdisk.img 镜像打包和解包制作2.1 打包脚本
创建脚本 pack_ramdisk.sh,将 RAMDisk 内容打包为 ramdisk.img:
#!/bin/bash
7 e+ `4 H; a9 _+ V" k  wcd ramdisk_contents
; ?1 f/ V' }/ ^- pfind .| cpio -o -H newc >../ramdisk.cpio
) v9 M3 }! v$ n; `1 t- l+ Sgzip ../ramdisk.cpio
2 \1 V  b% H# \8 Tmv ../ramdisk.cpio.gz   ../ramdisk.img* |, s; D1 G3 V9 c& k# r+ r
2.2 解包脚本
创建脚本 unpack_ramdisk.sh,将 ramdisk.img 解包到工作目录:
#!/bin/bash& H! O' C7 F5 P0 Z2 w) Y& I
mkdir ramdisk_contents
3 h$ V8 J' H6 _2 {6 J: s/ M# Kcd ramdisk_contents! T$ k! j6 o7 b) J$ ?% {
gunzip -c ../ramdisk.img > ramdisk.cpio
8 F9 w4 t- I/ v2 ^cpio -idv < ramdisk.cpio
% m7 x: P8 b# [: N& h- mrm ramdisk.cpio
通过上面打包解包脚本可以直接修改已经制作好的ramdisk.img镜像
3. 打包到boot.img3.1 配置项目文件
在项目 defconfig 文件中,添加以下内容:
RK_USE_FIT_IMG=y
' j0 L: V) s5 Q5 URK_BOOT_FIT_ITS="bootramdisk.its"% y9 [( G) A/ ^/ ^2 ~2 O( Y
RK_RAMDISK_IMG="ramdisk.img"
在 rk356x_bsp/device/rockchip/common/scripts/mk-kernel.sh 文件中添加打包逻辑:
                          if[-n "$RK_BOOT_FIT_ITS"; then
( f! \( Q  i# Q* m8 F! Y                                   if[-z "$RK_ROOTFS_INITRD"; then" h1 f# _: I# h7 n7 O" H  K! d
                                            run_command \. X/ {3 v9 u) H2 E( K8 o
                                                     "$SCRIPTS_DIR/mk-fitimage.sh" \: H  q; f! w* @  L/ _
                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_BOOT_IMG" \# }7 ]# b( ^' M3 E+ u
                                                     "$RK_BOOT_FIT_ITS" \
7 i& j- B0 j9 {" n" }2 t3 g. k0 L3 l- C+ a) ?
                                                    "build-$VANXOAK_CUSTOMER_NAME/$RK_KERNEL_IMG" \9 D- `0 j, L+ P" A% M; ^

/ o% P' \+ V$ K6 f) r                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_RAMDISK_IMG"
" r" M8 A( e0 Q3 J, u3 E/ E/ T1 a% A! E. I0 X! Y" s2 {/ L6 K$ G
                                   fi, d! ?6 P3 N" t! r

& `: U! I0 V. O8 W& X7 A/ l                          fi' S1 V2 j8 H  k  q
5 M4 I- u* `9 R; C# d
4. Kernel 配置与设备树修改
4.1 设备树配置修改
修改设备树文件 chosen 节点,添加 overlayroot 参数:
    chosen: chosen {! p) b7 ?8 I8 d$ r1 U* _

# l( M* P+ h6 R2 B  T- G                  //bootargs = "earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTUUID=614e0000-0000 rw rootwait";
$ B, i; E% U- @; J& n. r! Z' g: o1 [5 _9 B# {+ b1 O- B; g6 R
                  bootargs ="earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTLABEL=rootfs rootfstype=ext4 ro rootwait overlayroot=device:dev=PARTLABEL=userdata,fstype=ext4,mkfs=1 coherent_pool=1m systemd.gpt_auto=0 cgroup_enable=memory swapaccount=1 swIoTlb=0x10000 net.ifnames=0";
. }0 i3 p2 B0 q8 @/ O7 a% h4 f: ]* D9 d# A* z3 _

. w; x& W6 v6 a
. q3 v- z' u, c$ Q, v+ Z6 ^% r         };
4.2 修改内核配置
确保内核启用了 OverlayFS:
CONFIG_OVERLAY_FS=y
5. 测试效果与优化
将更新后的 boot.img 刷写到开发板,重启后执行:
df -h
输出类似以下内容:
root@hd-rk3568:~# df -h
6 T/ D' H% L) [; g1 Z( c6 Y6 _" v8 b$ y9 c7 @0 A' c$ l' @
文件系统        容量   已用   可用已用% 挂载点/ R8 H3 X  B5 ~8 h; x

* g" \7 T7 Y4 p* \2 N9 dudev            963M   8.0K   963M    1%/dev8 _4 N7 B. i6 }& t
1 S$ h7 y/ h( D
tmpfs           196M   1.3M   195M    1%/run
7 S# n& |0 Q0 \* b$ F" I8 u0 q. U2 g9 _  u7 j2 u$ Y! d, n
/dev/mmcblk0p6   3.2G   3.1G     0   100%/root-ro
$ I3 }. O5 k( T1 }2 C2 |; O- X
+ v, v4 v3 i; W0 D/dev/mmcblk0p8   23G   590M   23G    3%/userdata
9 N( E" k+ \& Q4 U9 O# i) M+ z0 W9 T3 R- W" v
overlayroot      23G   590M   23G    3%/
添加完上面内容后,更新boot.img到开发板,执行df -h命令可以看到rootfs分区挂载为/root-ro变为只读分区,userdata分区挂载为overlayroot保存文件系统修改差异部分。若要重置系统状态,只需清空userdata内容即可。
  w1 p/ T; F" S* h
6. 总结
通过以上步骤,您可以成功为 RK3568 平台配置 overlayroot。这种设置使得系统文件更加安全,同时提供灵活的更新和重置能力,非常适合嵌入式场景。

+ g9 a2 O5 Z, G; G  ?# y" N

该用户从未签到

2#
发表于 2025-1-8 16:12 | 只看该作者
开发板有程序包吗
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

推荐内容上一条 /1 下一条

EDA365公众号

关于我们|手机版|EDA365电子论坛网 ( 粤ICP备18020198号-1 )

GMT+8, 2025-7-28 22:00 , Processed in 0.109375 second(s), 23 queries , Gzip On.

深圳市墨知创新科技有限公司

地址:深圳市南山区科技生态园2栋A座805 电话:19926409050

快速回复 返回顶部 返回列表