利用overlayfs实现文件系统的安全隔离

最新推荐文章于 2025-05-23 12:04:59 发布
原创 最新推荐文章于 2025-05-23 12:04:59 发布 · 2.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

本文介绍了如何利用OverlayFS实现文件系统的安全隔离。OverlayFS是一种堆叠文件系统,通过lowerdir、upperdir和workdir实现不同目录的合并与隔离。lowerdir为只读层,upperdir为可读写层,mergeddir为用户最终看到的合并目录。通过挂载选项,可以设置多层lowerdir并控制文件系统行为。文章还提到了pivot_root命令,可用于在不破坏原文件系统的情况下实现安全隔离。

OverlayFS,一种堆叠文件系统,不直接参与磁盘空间结构的划分,是建立在其它的文件系统之上,其作用就像一个文件集合,可以将不同目录和文件合并到一个指定的目录上;

挂载一个OverlayFS

mount -t overlay -o <options> overlay <mount point>

<mount point>是最终overlay的挂载点mergeddir;

overlay的options有如下:

        lowerdir=<dir>:指定用户需要挂载的lower层目录,lower层支持多个目录,用“:”间隔,优先级依次降低。最多支持500层。

        upperdir=<dir>:指定用户需要挂载的upper层目录,upper层优先级高于所有的lower层目录。

        workdir=<dir>:指定文件系统挂载后用于存放临时和间接文件的工作基础目录。

        default_permissions:

        redirect_dir=on/off:开启或关闭redirect directory特性,开启后可支持merged目录和纯lower层目录的rename/renameat系统调用。

        index=on/off:开启或关闭index特性,开启后可避免hardlink copyup broken问题。

lowerdi

最低0.47元/天 解锁文章
通过squashfs配合overlayfs增强RK3288文件系统的可靠性
wf908164152的博客
07-11 1817
通过squashfs配合overlayfs增强RK3288文件系统的可靠性
RK3568(buildroot)基于squashfs+overlay提高文件系统可靠性
wf908164152的博客
08-01 3735
在进行嵌入式 Linux 系统产品开发设计时,经常会出现由于设备意外断电等引起的文件系统损坏的情况,进而最终导致设备无法正常启动。为了应对这种情况,通常会从硬件设计如采用备用电源,无论是锂电池还是超级电容等,或者从系统软件设上加以规避。本文接下来将介绍如何使用 squashfs 只读文件系统制作 Linux 系统文件,并采用 overlayfs 为用户目录增加可写权限。
从零开始写 Docker(五)---基于 overlayfs 实现写操作隔离
探索云原生
03-12 796
上一篇中已经实现了使用宿主机 /root/busybox 目录作为容器的根目录,但在容器内对文件的操作仍然会直接影响到宿主机的 /root/busybox 目录。本节要进一步进行容器和镜像隔离实现在容器中进行的操作不会对镜像(宿主机/root/busybox目录)产生任何影响的功能。overlayfs 是 UFS 的一种实现,UnionFS 全称为 Union File System ,是一种为 Linux FreeBSD NetBSD 操作系统设计的,把其他文件系统联合到一个联合挂载点的文件系统服务。
OverlayFS在嵌入式系统中的应用
CATTLE_L的博客
06-03 1743
OverlayFS在嵌入式系统中的应用
使用Squashfs和Overlayfs提高嵌入式Linux文件系统可靠性
yuexiazhufeng的博客
10-18 1689
yocto中实现squashfs和overlay
深入解析:Docker 容器如何实现文件系统与资源的多维隔离
人心有反复,好在山水有重逢。
01-22 2519
通过RootFs和cgroups的巧妙组合,Docker 容器能够在同一个 Linux 内核上运行,却拥有与宿主机和其他容器相对独立的文件系统、进程空间、网络环境、IPC、以及严格的资源配额/限制。这为容器提供了接近虚拟机的隔离性,同时也保留了“共享同一个内核”的优势(启动速度快、资源开销小等)。RootFs:让容器拥有独立的文件系统视图,与宿主机的根目录区分开来。PID Namespace 让容器内部进程有各自的 PID 视图。Network Namespace 让容器拥有独立的虚拟网卡、网络栈。
如何通过命名空间(namespace)实现文件系统隔离
03-26
嗯,用户想了解如何利用命名空间实现文件系统隔离。首先,我得回忆一下Linux命名空间的相关知识,特别是Mount命名空间。记得Mount命名空间是负责文件系统挂载点隔离的,每个命名空间可以有自己独立的文件系统视图...
overlayfs介绍以及和bind差别介绍
a2591748032的博客
11-03 1015
overlayfs介绍以及和bind差别介绍
叠合文件系统
02-16
通过挂载OverlayFS,不同的upperdir可以叠加到这个base dir上,从而实现不同用户的文件隔离,使得每个用户都只能看到自己的文件,而不会看到别的用户的文件。这种方法极大地提高了系统的效率和资源利用率。
嵌入式linux只读保护,如何使用squashfs只读文件系统制作Linux系统文件
weixin_39635459的博客
05-10 1035
在使用嵌入式Linux 系统的时,会出现由于设备意外断电引起文件系统损坏而最终使该设备无法启动的现象。为了应对这种情况,通常会从硬件设计如采用备用电源,无论是锂电池还是超级电容等,或者从系统软件设上加以规避。本文接下来将介绍如何使用 squashfs 只读文件系统制作 Linux 系统文件,并采用 overlayfs 为用户目录增加可写权限。演示采用 Colibri iMX6 计算机模块,该方法同...
关于 解决安卓机 /system 只读问题
最新发布
Triste__chengxi的博客
05-23 1923
打开 Magisk App,进入“模块”页面,点击“从本地安装”,选择下载的。安装并重启后,可以通过终端或 adb shell 执行以下命令来挂载。技术在只读分区上创建可写的覆盖层,从而实现对。:安装完成后,重启手机以应用模块。这将创建一个可写的覆盖层,能够修改。:访问上述链接,下载最新的。
【openwrt】【overlayfs】Openwrt系统overlayfs挂载流程
分享嵌入式Linux技术知识
01-18 9423
overlayfs是一种叠加文件系统,在openwrt和安卓系统中都有很广泛的应用,overlayfs通常用于将只读根文件系统(rootfs)和可写文件系统(jffs2)进行叠加后形成一个新的文件系统,这个新的文件系统“看起来”是可读写的。
Wrapfs : a stackable file system(一种堆栈式文件系统
Fybon的专栏
04-02 6807
wrapfs
联合文件系统(UnionFS)总结
liuyij3430448的博客
12-09 4365
mount -t aufs 模板各式 -t aufs指定使用 aufs-o dirs=【文件夹 多个用:分割】【自定义挂载名称】 此名称会在mount 中显示【挂载位置】联合文件挂载的位置例如以下命令以上命令把/data/tmpfile/go文件夹内容 /data/tmpfile/java文件内容 挂载到/data/ufs/文件夹 挂载名称为myaufs。
Linux学习-Docker文件系统
丢爸
09-12 988
Overlayfs 是一种堆叠文件系统,它依赖并建立在其它的文件系统之上(例如 ext4fs 和 xfs 等等),并不直接参与磁盘空间结构的划分,仅仅将原来底层文件系统中不同的目录进行“合并”,然后向用户呈现。Overlayfs 是一种类似 aufs 的一种堆叠文件系统,于 2014 年正式合入 Linux-3.18 主线内核,目前其功能已经基本稳定(虽然还存在一些特性尚未实现)且被逐渐推广。
Docker挂了,数据如何找回
小胡子
04-02 1488
docker在实际使用中,让运维人员诟病的,除了安全问题外,大概就是数据的问题了 很多人在初用docker的时候,很多时候都忘记或不知道docker中需要保留的数据需要挂载到宿主机文件夹到容器内部对应目录(当然除了挂载宿主机目录,还有其他解决方案,我们后面会有文章介绍) 当容器因为某些原因挂掉、无法重新启动的时候,他们就认为数据丢失了,找不回了,这也是很多人对docker的一个认识误区,网上没有一篇文章说docker数据的问题,今天详细解释下,docker数据在哪里 首先说一下这边以...
OverlayFs2设计学习
03-13 2388
OverlayFs是一种堆叠文件系统,本文将介绍OverlayFs的一些特性,并介绍其中的一些实现技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值