Auto-sync: 2026-04-19 14:51

wiki/concepts/dm-verity.md

@@ -0,0 +1,25 @@
+---
+title: "dm-verity"
+type: concept
+tags: [Linux-Kernel, Security, Filesystem]
+date: 2026-04-19
+---
+
+## Definition
+dm-verity（device-mapper verity）是 Linux 内核子系统，用于验证块设备的完整性，通过 cryptographic hash 树实现只读文件系统的完整性保护。
+
+## How It Works
+- 在块设备上构建 hash 树结构
+- 每个块的数据 hash 与上一级 hash 比对
+- 根 hash 存储在信任的存储位置
+- 任何块内容变化都会导致验证失败
+
+## Use Cases
+- 防止根文件系统被篡改
+- 确保容器镜像完整性
+- 安全启动链的一部分
+
+## Related Concepts
+- [[Bottlerocket-OS]] — 使用 dm-verity 验证根文件系统
+- [[Secure-Boot]] — 安全启动机制
+- [[Root-Filesystem]] — 根文件系统保护