本文介绍了如何利用OverlayFS实现文件系统的安全隔离。OverlayFS是一种堆叠文件系统,通过lowerdir、upperdir和workdir实现不同目录的合并与隔离。lowerdir为只读层,upperdir为可读写层,mergeddir为用户最终看到的合并目录。通过挂载选项,可以设置多层lowerdir并控制文件系统行为。文章还提到了pivot_root命令,可用于在不破坏原文件系统的情况下实现安全隔离。
OverlayFS,一种堆叠文件系统,不直接参与磁盘空间结构的划分,是建立在其它的文件系统之上,其作用就像一个文件集合,可以将不同目录和文件合并到一个指定的目录上;
挂载一个OverlayFS
mount -t overlay -o <options> overlay <mount point>
<mount point>是最终overlay的挂载点mergeddir;
overlay的options有如下:
lowerdir=<dir>:指定用户需要挂载的lower层目录,lower层支持多个目录,用“:”间隔,优先级依次降低。最多支持500层。
upperdir=<dir>:指定用户需要挂载的upper层目录,upper层优先级高于所有的lower层目录。
workdir=<dir>:指定文件系统挂载后用于存放临时和间接文件的工作基础目录。
default_permissions:
redirect_dir=on/off:开启或关闭redirect directory特性,开启后可支持merged目录和纯lower层目录的rename/renameat系统调用。
index=on/off:开启或关闭index特性,开启后可避免hardlink copyup broken问题。
lowerdir是OverlayFS中只读的层,不能被修改,OverlayFS支持多个lowerdir;
upperdir是可读写
最低0.47元/天 解锁文章
扫一扫
1468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
