0

0

Linux dm-verity 的 Merkle tree 与只读根文件系统完整性保护

舞夢輝影

舞夢輝影

发布时间:2026-02-24 17:59:15

|

964人浏览过

|

来源于php中文网

原创

dm-verity的merkle tree以文件系统块(如4kb)为叶子节点,逐层哈希构建,树根哈希硬编码于启动参数;验证时每次读块实时计算路径哈希并与预存值比对,不匹配则返回eio。

linux dm-verity 的 merkle tree 与只读根文件系统完整性保护

dm-verity 的 Merkle tree 是怎么生成和验证的

dm-verity 不是靠扫描整个 rootfs 来校验,而是把文件系统块(通常是 4KB)当作叶子节点,逐层哈希向上构造 Merkle tree。树根哈希(root hash)被硬编码进内核启动参数或 initramfs 里,启动时由 device-mapper 驱动加载并验证每个读取的块。

关键点在于:树结构完全由数据块大小、设备总大小和哈希算法决定,不依赖文件路径或元数据——所以它只保护“块内容”,不管文件是否被删、重命名或新增。

  • hash_algorithm 默认是 sha256,但某些旧内核不支持 sha512,换算法前得查 cat /proc/crypto | grep sha
  • 叶子层块大小(data_block_size)必须和实际文件系统逻辑块对齐,常见为 4096;设错会导致 device-mapper: verity: invalid hash block size
  • 树高由设备大小自动推导,不能手动指定;生成工具 veritysetup 会报出 tree_depth,调试时可用来反推验证路径是否合理

构建只读 rootfs 时,verity 表如何写进 device-mapper

不是直接挂载分区,而是用 dmsetup create 把原始设备映射成一个带校验的逻辑设备(比如 /dev/mapper/verity-root),再把这个设备作为 rootfs 挂载点。这个过程必须在 initramfs 里完成,且不能晚于 switch_root

典型映射表格式:0 <device_size> verity <version><data_device><hash_device><data_block_size><hash_block_size><num_data_blocks><hash_start_block><root_hash><salt></salt></root_hash></hash_start_block></num_data_blocks></hash_block_size></data_block_size></hash_device></data_device></version></device_size>,其中 hash_device 可以和 data_device 是同一块设备(hash 放在末尾),也可以是独立分区。

68爱写
68爱写

专业高质量AI4.0论文写作平台,免费生成大纲,支持无线改稿

下载
  • 如果 hash_devicedata_device 同盘,hash_start_block 必须严格等于 num_data_blocks,否则验证时读越界,内核报 bio too big device
  • root_hash 必须是十六进制字符串(无 0x 前缀),长度取决于哈希算法:sha256 是 64 字符,少一位就会触发 Invalid root hash length
  • initramfs 里执行 dmsetup create 前,要确保 dm-verity 模块已加载(modprobe dm_verity),否则 Unknown table target type 'verity'

为什么改了文件系统内容后,verity 校验就失败

因为 dm-verity 在每次读块时实时计算该块的 Merkle 路径哈希,并与预存的树中对应节点比对。只要任意一个数据块内容变化(哪怕只是 touch 一个空文件),从叶子到根的整条路径哈希全变,最终 root hash 对不上,驱动直接返回 EIO,上层表现为 “Read-only file system” 或 “Input/output error”。

  • 这种失败是静默且不可绕过的——你无法在运行时 disable verity,也不能临时 remount rw;唯一办法是重新生成 hash tree 并更新 root hash
  • 注意:ext4 的 journal、TRIM、discard 等操作本身不改数据块内容,不会触发失败;但 e2fsck -f 或 resize2fs 可能重排块,必须重新生成 verity 表
  • 调试时可用 dmsetup table --showkeys 查看当前加载的 root hash,对比生成时保存的值,确认是否被意外篡改

initramfs 里验证失败,常见日志怎么看

内核 log(dmesg)里最相关的几行通常带 dm-verityblock 关键字,不是所有错误都明确说 “hash mismatch”。真正有效的线索藏在 bio 层和 device-mapper 日志里。

  • 看到 device-mapper: verity: checksum failed —— 确认 root hash 或 salt 错了,或者设备被写过
  • 看到 end_request: I/O error, dev dm-0, sector XXXXX + Buffer I/O error on dev dm-0 —— 很可能是某一层哈希块读取失败(比如 hash 区域损坏或 offset 错)
  • 看到 device-mapper: verity: invalid hash device —— 多半是 hash_device 设成了只读 loop 设备但没用 --read-only 参数创建

verity 的难点不在配置,而在它把“数据一致性”提前到块设备层,一旦部署,任何底层变更都会立刻暴露——这不是 bug,是设计使然。别想着绕过,得接受它对只读性的绝对要求。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
scripterror怎么解决
scripterror怎么解决

scripterror的解决办法有检查语法、文件路径、检查网络连接、浏览器兼容性、使用try-catch语句、使用开发者工具进行调试、更新浏览器和JavaScript库或寻求专业帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

391

2023.10.18

500error怎么解决
500error怎么解决

500error的解决办法有检查服务器日志、检查代码、检查服务器配置、更新软件版本、重新启动服务、调试代码和寻求帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

348

2023.10.25

js 字符串转数组
js 字符串转数组

js字符串转数组的方法:1、使用“split()”方法;2、使用“Array.from()”方法;3、使用for循环遍历;4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容,供大家免费下载体验。

638

2023.08.03

js截取字符串的方法
js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容,供大家免费下载体验。

217

2023.09.04

java基础知识汇总
java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友,请阅读本专题下面的的有关文章,欢迎大家来php中文网学习。

1558

2023.10.24

字符串介绍
字符串介绍

字符串是一种数据类型,它可以是任何文本,包括字母、数字、符号等。字符串可以由不同的字符组成,例如空格、标点符号、数字等。在编程中,字符串通常用引号括起来,如单引号、双引号或反引号。想了解更多字符串的相关内容,可以阅读本专题下面的文章。

642

2023.11.24

java读取文件转成字符串的方法
java读取文件转成字符串的方法

Java8引入了新的文件I/O API,使用java.nio.file.Files类读取文件内容更加方便。对于较旧版本的Java,可以使用java.io.FileReader和java.io.BufferedReader来读取文件。在这些方法中,你需要将文件路径替换为你的实际文件路径,并且可能需要处理可能的IOException异常。想了解更多java的相关内容,可以阅读本专题下面的文章。

1027

2024.03.22

php中定义字符串的方式
php中定义字符串的方式

php中定义字符串的方式:单引号;双引号;heredoc语法等等。想了解更多字符串的相关内容,可以阅读本专题下面的文章。

980

2024.04.29

Golang 生态工具与框架:扩展开发能力
Golang 生态工具与框架:扩展开发能力

《Golang 生态工具与框架》系统梳理 Go 语言在实际工程中的主流工具链与框架选型思路,涵盖 Web 框架、RPC 通信、依赖管理、测试工具、代码生成与项目结构设计等内容。通过真实项目场景解析不同工具的适用边界与组合方式,帮助开发者构建高效、可维护的 Go 工程体系,并提升团队协作与交付效率。

1

2026.02.24

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.6万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号