769 B
769 B
title, type, tags, date
| title | type | tags | date | |||
|---|---|---|---|---|---|---|
| dm-verity | concept |
|
2026-04-19 |
Definition
dm-verity(device-mapper verity)是 Linux 内核子系统,用于验证块设备的完整性,通过 cryptographic hash 树实现只读文件系统的完整性保护。
How It Works
- 在块设备上构建 hash 树结构
- 每个块的数据 hash 与上一级 hash 比对
- 根 hash 存储在信任的存储位置
- 任何块内容变化都会导致验证失败
Use Cases
- 防止根文件系统被篡改
- 确保容器镜像完整性
- 安全启动链的一部分
Related Concepts
- Bottlerocket-OS — 使用 dm-verity 验证根文件系统
- Secure-Boot — 安全启动机制
- Root-Filesystem — 根文件系统保护