Linux文件系統(tǒng)的安全保障---Overlayroot！

發(fā)表時間：2025-01-07 10:50

`overlayroot` 是一種使用 OverlayFS 實現(xiàn)的功能，可將根文件系統(tǒng)掛載為只讀，并通過一個臨時的寫層實現(xiàn)對文件系統(tǒng)的修改。這種方法非常適合嵌入式設(shè)備或需要保持系統(tǒng)文件完整性和安全性的場景。下文以 RK3568 平臺為例，介紹制作 overlayroot 的詳細(xì)步驟。

1. 制作精簡文件系統(tǒng)ramdisk

1.1 環(huán)境準(zhǔn)備

1. 目標(biāo)系統(tǒng)：確保系統(tǒng)支持 OverlayFS（內(nèi)核版本 ≥ 3.18）。

2. 工具和依賴：

一個支持 OverlayFS 的 Linux 內(nèi)核。
`busybox` 或其他必要的系統(tǒng)工具。

1.2 OverlayFS 的基本原理

OverlayFS 將文件系統(tǒng)分為以下兩層：

Lowerdir：只讀的底層文件系統(tǒng)，通常是現(xiàn)有的根文件系統(tǒng)。
Upperdir：可寫的頂層，存儲所有的臨時更改。
Workdir：OverlayFS 的工作目錄，用于支持文件操作。

1.3 制作步驟

1.3.1 創(chuàng)建 OverlayFS 配置結(jié)構(gòu)

首先創(chuàng)建一個工作目錄來組織文件系統(tǒng)結(jié)構(gòu)。

mkdir -p /tmp/ramdisk/{bin,sbin,etc,proc,sys,dev,tmp}

bin 和 sbin：存放用戶工具（例如 busybox）。
etc：存放必要的配置文件。
proc、sys、dev：為內(nèi)核文件系統(tǒng)掛載預(yù)留的掛載點。
tmp：用于臨時存儲文件。

將 busybox 和相關(guān)依賴文件復(fù)制到適當(dāng)?shù)哪夸?/p>

1.3.2 配置掛載腳本

在ramdisk 的腳本中配置相關(guān)的掛載和優(yōu)化

root_rw=/userdata   #讀寫掛載點

root_ro=/root-ro   #只讀文件系統(tǒng)掛載點

ROOTMNT=${rootmnt} # use global name to indicate created outside this

OVERLAYROOT_DEBUG=0

#優(yōu)化userdata分區(qū)自動修復(fù)

e2fsck -y /dev/disk/by-partlabel/userdata

tune2fs -O has_journal /dev/disk/by-partlabel/userdata

2. ramdisk.img 鏡像打包和解包制作

2.1 打包腳本

創(chuàng)建腳本 pack_ramdisk.sh，將 RAMDisk 內(nèi)容打包為 ramdisk.img：

#!/bin/bash
cd ramdisk_contents
find .| cpio -o -H newc >../ramdisk.cpio
gzip ../ramdisk.cpio
mv ../ramdisk.cpio.gz   ../ramdisk.img

2.2 解包腳本

創(chuàng)建腳本 unpack_ramdisk.sh，將 ramdisk.img 解包到工作目錄：

#!/bin/bash
mkdir ramdisk_contents
cd ramdisk_contents
gunzip -c ../ramdisk.img > ramdisk.cpio
cpio -idv < ramdisk.cpio
rm ramdisk.cpio

通過上面打包解包腳本可以直接修改已經(jīng)制作好的ramdisk.img鏡像

3. 打包到boot.img

3.1 配置項目文件

在項目 defconfig 文件中，添加以下內(nèi)容：

RK_USE_FIT_IMG=y
RK_BOOT_FIT_ITS="bootramdisk.its"
RK_RAMDISK_IMG="ramdisk.img"

在 rk356x_bsp/device/rockchip/common/scripts/mk-kernel.sh 文件中添加打包邏輯：

                          if[-n "$RK_BOOT_FIT_ITS"]; then
                                   if[-z "$RK_ROOTFS_INITRD"]; then
                                            run_command \
                                                     "$SCRIPTS_DIR/mk-fitimage.sh" \
                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_BOOT_IMG" \
                                                     "$RK_BOOT_FIT_ITS" \

                                                    "build-$VANXOAK_CUSTOMER_NAME/$RK_KERNEL_IMG" \

                                                     "build-$VANXOAK_CUSTOMER_NAME/kernel/$RK_RAMDISK_IMG"

                                   fi

                          fi

4. Kernel 配置與設(shè)備樹修改

4.1 設(shè)備樹配置修改

修改設(shè)備樹文件 chosen 節(jié)點，添加 overlayroot 參數(shù)：

    chosen: chosen {

                  //bootargs = "earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTUUID=614e0000-0000 rw rootwait";

                  bootargs ="earlycon=uart8250,mmio32,0xfe660000 console=ttyFIQ0 root=PARTLABEL=rootfs rootfstype=ext4 ro rootwait overlayroot=device:dev=PARTLABEL=userdata,fstype=ext4,mkfs=1 coherent_pool=1m systemd.gpt_auto=0 cgroup_enable=memory swapaccount=1 swiotlb=0x10000 net.ifnames=0";



         };

4.2 修改內(nèi)核配置

確保內(nèi)核啟用了 OverlayFS：

CONFIG_OVERLAY_FS=y

5. 測試效果與優(yōu)化

將更新后的 boot.img 刷寫到開發(fā)板，重啟后執(zhí)行：

df -h

輸出類似以下內(nèi)容：

root@hd-rk3568:~# df -h

文件系統(tǒng)        容量   已用   可用已用% 掛載點

udev            963M   8.0K   963M    1%/dev

tmpfs           196M   1.3M   195M    1%/run

/dev/mmcblk0p6   3.2G   3.1G     0   100%/root-ro

/dev/mmcblk0p8   23G   590M   23G    3%/userdata

overlayroot      23G   590M   23G    3%/

添加完上面內(nèi)容后，更新boot.img到開發(fā)板，執(zhí)行df -h命令可以看到rootfs分區(qū)掛載為/root-ro變?yōu)橹蛔x分區(qū)，userdata分區(qū)掛載為overlayroot保存文件系統(tǒng)修改差異部分。若要重置系統(tǒng)狀態(tài)，只需清空userdata內(nèi)容即可。

6. 總結(jié)

通過以上步驟，您可以成功為 RK3568 平臺配置 overlayroot。這種設(shè)置使得系統(tǒng)文件更加安全，同時提供靈活的更新和重置能力，非常適合嵌入式場景。

文章列表

更多>>

喜報！萬象奧科榮獲瑞芯微2024年度優(yōu)秀合作獎！

新年伊始，喜訊傳來！武漢萬象奧科憑借過去一年在RK系列嵌入式技術(shù)方案開發(fā)、市場推廣等方面的努力和積累，從Rockchip眾多合作伙伴中脫穎而出，榮獲瑞芯微“2024年度優(yōu)秀合作獎”！這一榮譽的獲得，是對武漢萬象奧科技術(shù)實力和服務(wù)水平的充分肯定，更是雙方合作、共贏的最佳見證。過去一年，萬象奧科與瑞芯微緊密合作，成功推出并量產(chǎn)了搭載瑞芯微RK3588、RK3576、RK3562、RK3506等芯...

Linux文件系統(tǒng)的安全保障---Overlayroot！

RK3506單板機,99元搶先體驗!

RK3506是一款高性能三核Cortex-A7處理器，內(nèi)部集成Cortex-M0核心，適合于工業(yè)控制、工業(yè)通信、人機交互等應(yīng)用場景。為方便開發(fā)、使用，萬象奧科推出HD-RK3506G-MINI單板機，僅需99元即可入手。單板機接口包含：以太網(wǎng)、RS232/RS485、CAN總線、液晶屏，支持接口擴展！產(chǎn)品特點：多核異構(gòu)3xCortex-A7+Cortex-M0，低功耗、高實時外設(shè)接...

嵌入式ARM處理器新星?RK3506典型應(yīng)用場景分析!

RK3506 是瑞芯微推出的MPU產(chǎn)品，芯片制程為22nm，定位于輕量級、低成本解決方案。該MPU具有低功耗、外設(shè)接口豐富、實時性高的特點，適合用多種工商業(yè)場景。本文將基于RK3506的設(shè)計特點，為大家分析其應(yīng)用場景。RK3506核心板主要分為三個型號，各型號間的區(qū)別如下圖：圖 1 RK3506核心板處理器型號場景1：顯示HMIRK3506核心板顯示接口支持RGB、MIPI、QSPI輸出，...

RK3506各型號間有什么差異？

RK3506單板機（卡片電腦）是一款高性能三核Cortex-A7處理器，內(nèi)部集成Cortex-M0核心，RK3506單板機具有接口豐富、實時性高、顯示開發(fā)簡單、低功耗及多系統(tǒng)支持等特點，非常適合于工業(yè)控制、工業(yè)通信、人機交互等應(yīng)用場景。多核異構(gòu)3xCortex-A7+Cortex-M0 外設(shè)接口豐富，板載網(wǎng)絡(luò)、串口、CAN總線支持Buildroot、Yocto系統(tǒng)，支持AMP混合部署支...

工控板方案中，哪些功能可以通過USB擴展出來？

作為優(yōu)秀工程師的你，已身經(jīng)百戰(zhàn)、閱板無數(shù)！請先醒醒，新的項目來了，這是一個既要、又要、還要的產(chǎn)品需求，ARM核心板中一個處理器怎么能實現(xiàn)這么豐富的外圍接口？躊躇之際，你偶閱此文。于是，“潘多拉”的魔盒打開了！

什么是UGFC？模塊電腦（核心板）規(guī)范標(biāo)準(zhǔn)簡介四

UGFC是Unified Gold Finger Core Board的縮寫（意指：統(tǒng)一接口定義金手指核心板），為武漢萬象奧科電子有限公司基于企業(yè)標(biāo)準(zhǔn)定義的一種針對嵌入式、低功耗、通用型的小型計算機模塊標(biāo)準(zhǔn)，采用204Pin金手指連接器，基于ARM架構(gòu)的MPU平臺，主要面向泛工業(yè)領(lǐng)域的數(shù)據(jù)采集、邊緣數(shù)據(jù)處理、接口通訊與人機交互等應(yīng)用場景。

什么是SMARC？模塊電腦（核心板）規(guī)范標(biāo)準(zhǔn)簡介三

1. 概念SMARC（Smart Mobility ARChitecture，智能移動架構(gòu)）是一種通用的小型計算機模塊定義，基于ARM和X86技術(shù)的模塊化計算機低功耗嵌入式架構(gòu)平臺，旨在滿足低功耗、低成本和高性能的應(yīng)用需求。這些模塊通常使用與平板電腦和智能手機中相似的ARM SOC，或其他低功耗SOC和CPU。圖片（314 Pin金手指）2. 起源SMARC最初名為ULP-COM，主要發(fā)...

以RK3568為例,ARM核心板如何實現(xiàn)NTP精準(zhǔn)時間同步?

網(wǎng)絡(luò)時間協(xié)議NTP（Network TimeProtocol）是用于互聯(lián)網(wǎng)中時間同步的標(biāo)準(zhǔn)互聯(lián)網(wǎng)協(xié)議，可以把計算機的時間同步到某些時間標(biāo)準(zhǔn)。NTP對于我們產(chǎn)品來說有什么用呢，簡單的講，當(dāng)你的設(shè)備時間不準(zhǔn)確了，你可以接入到互聯(lián)網(wǎng)，從網(wǎng)上同步一下時間，非常方便。

Repo:Android 源碼管理的利器--工作原理與常用命令全解析

在 Android 開發(fā)中，源碼管理是一項至關(guān)重要且頗具挑戰(zhàn)性的任務(wù)。面對包含數(shù)百個 git 庫的 Android 源碼，如何高效地進(jìn)行下載、管理和協(xié)作開發(fā)成為了開發(fā)者們必須攻克的難題！