---
title: "dm-verity"
type: concept
tags: [Linux-Kernel, Security, Filesystem]
date: 2026-04-19
---

## Definition
dm-verity（device-mapper verity）是 Linux 内核子系统，用于验证块设备的完整性，通过 cryptographic hash 树实现只读文件系统的完整性保护。

## How It Works
- 在块设备上构建 hash 树结构
- 每个块的数据 hash 与上一级 hash 比对
- 根 hash 存储在信任的存储位置
- 任何块内容变化都会导致验证失败

## Use Cases
- 防止根文件系统被篡改
- 确保容器镜像完整性
- 安全启动链的一部分

## Related Concepts
- [[Bottlerocket-OS]] — 使用 dm-verity 验证根文件系统
- [[Secure-Boot]] — 安全启动机制
- [[Root-Filesystem]] — 根文件系统保护