利用overlayfs实现文件系统的安全隔离

VIP文章 于 2024-03-12 17:11:23 发布
阅读量1.6k 收藏 20
点赞数 38
分类专栏: linux文件系统 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangzhangyin/article/details/136655277
版权

OverlayFS,一种堆叠文件系统,不直接参与磁盘空间结构的划分,是建立在其它的文件系统之上,其作用就像一个文件集合,可以将不同目录和文件合并到一个指定的目录上;

挂载一个OverlayFS

mount -t overlay -o <options> overlay <mount point>

<mount point>是最终overlay的挂载点mergeddir;

overlay的options有如下:

        lowerdir=<dir>:指定用户需要挂载的lower层目录,lower层支持多个目录,用“:”间隔,优先级依次降低。最多支持500层。

        upperdir=<dir>:指定用户需要挂载的upper层目录,upper层优先级高于所有的lower层目录。

        workdir=<dir>:指定文件系统挂载后用于存放临时和间接文件的工作基础目录。

        default_permissions:

        redirect_dir=on/off:开启或关闭redirect directory特性,开启后可支持merged目录和纯lower层目录的rename/renameat系统调用。

        index=on/off:开启或关闭index特性,开启后可避免hardlink copyup broken问题。

lowerdir是OverlayFS中只读的层,不能被修改,OverlayFS支持多个lowerdir;

upperdir是可读写

最低0.47元/天 解锁文章
物理与数学
关注
  • 38
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fuse-overlayfs:overlayfs的FUSE实现
05-12
保险丝覆盖 无根容器的FUSE中的overlay + shiftfs实现。 用法: $ fuse-overlayfs -o lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 指定不同的UID / GID映射: $ fuse-overlayfs -o uidmapping=0:10:100:100:10000:2000,gidmapping=0:10:100:100:10000:2000,lowerdir=lowerdir/a:lowerdir/b,upperdir=up,workdir=workdir merged 要求: 如果您不按照下一章的说明使用静态构建,则系统需要libfuse > v3.2.1。 在Fedora上: dnf install fuse3-devel 在Ubuntu> v19
genpack:从Gentoo Linux生成squashfs-overlayfs文件系统
04-08
简装 从Gentoo Linux生成squashfs-overlayfs文件系统 安装 make sudo make install 然后将安装/ usr / local / bin / genpack
update-reset:使用OverlayFS Linux内核功能实现的事务更新(和还原)系统。 包括用于构建和应用CoderBot更新包的脚本
02-14
更新重置 CoderBot是用于教育目的的基于RaspberryPI的可编程机器人。 检查以获取更多信息。 该存储库使用OverlayFS实施更新(和还原)系统。 概述 使用overlay,我们可以使根分区(overlay lowerdir )保持只读状态,而上分区可以写以进行修改。 我们可以触发恢复事件(从文件,物理按钮等),该事件在启动时将删除上层文件系统中的修改,从而有效地恢复出厂设置。 覆盖是通过初始化脚本安装的。 它安装上层文件系统,将rootfs和upper合并到overlayfs中,从而使其成为新的rootfs。 然后调用systemd。 如果引发了还原事件,它将清除高位fs。 设置 创建上部分区或使用part_overlay 分区设置 使用以下命令检查fs的使用情况: df -h File system Dim. Usati Dispon. Uso% Montat
overlayfs-tools:覆盖文件系统的维护工具
05-04
overlayfs工具 是Linux内核提供的联合文件系统。 该程序附带了三个工具: 真空-在删除重复文件upperdir其中copy_up完成,但文件实际上并未修改(见句中的“ copy_up可能变成是不必要的”在)。 这可以减小upperdir的大小,而无需更改lowerdir或overlay 。 DIFF -显示的实际改变文件列表(之差overlay和lowerdir )。 类型更改的文件(即从符号链接到常规文件)将显示为删除然后添加,而不是修改。 类似地,对于在不透明目录upperdir ,在相应的目录lowerdir (如果存在)将被示出为完全删除,并加入具有相同名称的新目录。 文件权限/所有者更改将简单地显示为已修改。 合并-合并从upperdir到lowerdir的更改。 与绕过联合文件系统机制的 for AuFS不同,overlayfs-utils模拟Overlay
叠合文件系统
02-16
    linux 文件系统的一些基础知识 怎么发现 overlayfs (源起) Linux 上 vfs 的原理 overlayfs 的原理
android高版本解锁system
最新发布
qq_43201447的博客
11-03 545
android高版本解锁system
docker镜像存储——overlayfs(新手入门)
qq_36657175的博客
12-31 5992
一、概述   Docker 中的镜像采用分层构建设计,每个层可以称之为 “layer”,这些 layer 被存放在了 / var/lib/docker/<storage-driver>/ 目录下,这里的 storage-driver 可以有很多种如: AUFSOverlayFS、VFS、Brtfs 等。可以通过 docker info 命令查看存储驱动,(笔者系统是 centos7.4): 通常 ubuntu 类的系统默认采用的是 AUFS,centos7.1 + 系列采用的是 Ove
第3篇-Docker容器-文件系统的“隔离
QI8811481的博客
04-15 1709
回顾:docker容器的本质是一种特殊的宿主机进程 其中NameSpace的作用隔离,只允许进程看到NameSpace内部的”世界” 其中Cgroups的作用是限制,给这个世界围上一圈看不见的“玻璃墙” 问题: 1、我们可以在docker容器中更改操作系统的内核参数吗? 本博客已解答 关于容器的 “文件系统隔离实现原理问题 2、linux的监狱策略chroot 和容器的文件系统隔离有什么关系?本博客已解答 3、chroot怎样对linux的服务、命令来做监牢机制的呢?本博客已解答 4、容器镜像指的
浅谈linux性能调优之四:文件系统的日志隔离
chuojianpeng9484的博客
07-10 191
1.ext3文件系统在ext2的基础上添加了日志功能,如同数据库一样用日志来保证数据的一致性。 ext2:前写block,后写inode! ext3:增添了日志区(有利于数据一致性),先写inode! 等数据写到文件...
干货 | Docker文件系统的分层与隔离
weixin_34290631的博客
09-14 311
现在就开始今天的分享~M老师:docker 的很多特性都表现在它所使用的文件系统上,比如大家都知道docker的文件系统是分层的,所以它可以快速迭代,可以回滚。这个回滚机制跟github很像,每次提交的时候都会有一个id, 回滚就是跟据这个id来操作的。M老师:docker所支持的文件系统有以下几种:Aufs、devicemapper、btrfs和Vfs,其中前三种是联合文件...
VFS文件系统简要分析
01-23
VFS文件系统简要介绍,重要数据结构与算法分析。
Docker镜像存储overlayfs的使用
09-29
主要介绍了Docker镜像存储overlayfs的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mergefs:一个功能强大的联合文件系统
02-12
mergefs-一个功能强大的联合文件系统 概要 mergefs -o <选项> <分支> <挂载点> 描述 mergefs是一个联合文件系统,旨在简化众多商品存储设备中文件的存储和管理。 它类似于mhddfs , unionfs和aufs 。 产品...
rust-vfs:Rust的虚拟文件系统
05-14
OverlayFS-覆盖两个文件系统的覆盖文件系统,上层具有读/写访问权限,下层仅具有读访问权限 EmbeddedFS-嵌入在可执行文件中的只读文件系统,需要embedded-fs功能 支持的最低Rust版本是1.40.0。 欢迎发表评论和提出...
fsdiffer:文件系统不同库
04-27
一个简单的文件系统差异库,将报告已添加/已修改/已删除的文件。 可以使用可插拔的FSdiffers(它们仅需要实现仅由Diff()函数组成的FSDiffer接口) 目前提供了一个简单的fs不同。 将来会提供其他fs差异(例如...
动手实现一个docker引擎-3-实现文件系统隔离、Volume与镜像打包
文杰的博客
11-13 1274
docker容器引擎实现系列
LXC文件系统隔离实现原理
linuxchyu的专栏
03-16 4117
LXC使用以下内核特性来来实现虚拟化:  Kernel namespaces (ipc, uts, mount, pid, network and user)Apparmor and SELinux profilesSeccomp policiesChroots (using pivot_root)Kernel capabilities Control groups (cgroups)
android overlayfs
06-06
Android的overlayfs是一种文件系统覆盖技术,它可以让一个文件系统透明地...总之,Android的overlayfs技术是一项非常强大的文件系统覆盖技术,它能够让我们更好地实现文件系统隔离和管理,提高系统的稳定性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值