Linux加密initramfs,initramfs 製作方式

Linux kernel在自身初始化完成之后，需要能够找到并运行第一个用户程序(这个程序通常叫做“init”程序)。用户程序存在于文件系统之中，因此，内核必须找到并挂载一个文件系统才可以成功完成系统的引导过程。

在 grub中提供了一个选项“root=”用来指定第一个文件系统，但随着硬件的发展，很多情况下这个文件系统也许是存放在USB设备，SCSI设备等等多 种多样的设备之上，如果需要正确引导，USB或者SCSI驱动模块首先需要运行起来，可是不巧的是，这些驱动程序也是存放在文件系统里，因此会形成一个悖 论。

为 解决此问题，Linux kernel提出了一个RAM disk的解决方案，把一些启动所必须的用户程序和驱动模块放在RAM disk中，这个RAM disk看上去和普通的disk一样，有文件系统，有cache，内核启动时，首先把RAM disk挂载起来，等到init程序和一些必要模块运行起来之后，再切到真正的文件系统之中。

上 面提到的RAM disk的方案实际上就是initrd。 如果仔细考虑一下，initrd虽然解决了问题但并不完美。 比如，disk有cache机制，对于RAM disk来说，这个cache机制就显得很多余且浪费空间；disk需要文件系统，那文件系统(如ext2等)必须被编译进kernel而不能作为模块来 使用。

Linux 2.6 kernel提出了一种新的实现机制，即initramfs。顾名思义，initramfs只是一种RAM filesystem而不是disk。initramfs实际是一个cpio归档，启动所需的用户程序和驱动模块被归档成一个文件。因此，不需要 cache，也不需要文件系统。

I. initramfs

详细的initramfs的资料可以参考如下：

(1) 黃敬群先生的blog：深入理解 Linux 2.6 的 initramfs 機制

(2) initramfs, a new model for initial RAM

下面是一些使用initramfs的简单帮助

1. 查看initramfs的内容

# mkdir temp ; cd temp # cp /boot/initrd.img-2.6.24-16 initrd.img-2.6.24-16.gz # gunzip initrd.img-2.6.24-16.gz # cpio -i –make-directories < initrd.img-2.6.24-16

2. 创建initramfs

命令：mkinitramfs, update-initramfs

1) mkinitramfs

# mkinitramfs -o /boot/initrd.img 2.6.24-16

Note: 2.6.24-16是需要创建initramfs的kernel版本号，如果是给当前kernel制作initramfs，可以用uname -r查看当前的版本号。提供kernel版本号的主要目的是为了在initramfs中添加指定kernel的驱动模块。mkinitramfs会把 /lib/modules/${kernel_version}/ 目录下的一些启动会用到的模块添加到initramfs中。

2)update-initramfs

更新当前kernel的initramfs

# update-initramfs -u

在添加模块时，initramfs tools只会添加一些必要模块，用户可以通过在/etc/initramfs-tools/modules文件中加入模块名称来指定必须添加的模块。

II. initrd

目前还是有不少Linux发行版采用initrd(即RAM disk的方式)来实现引导，所以了解一下mkinitrd这个命令也很有必要。

mkinitrd类似于mkinitramfs，是用于生成initrd的一个工具。最基本的用法参考下面：

#mkinitrd /boot/initrd.img $(uname -r)

如 果需要指定哪些module在启动时必须load，需要加上–preload=module或者 –with=module这样的选项。 这两者的区别在于–preload指定的module会在/etc/modprobe.d/* 里声明的任何SCSI模块之前被加载，–with指定的module会在/etc/modprobe.d/* 里声明的任何SCSI模块之后被加载。

另 外还有一个选项需要被注意，即–builtin=module。在manual里这个选项的解释是：Act as if module is built into the kernel being used. mkinitrd will not look for this module, and will not emit an error if it does not exist. This option may be used multiple times.

根 据上面的解释，可以看出builtin选项另外还有一个取巧的用处。以我所用的平台Acer Aspire One为例， 我在用mkinitrd制作RAM disk镜像是出现一个错误“No module ohci-hcd found …”，遇到这个情况，builtin选项就起作用了，用–builtin=ohci-hcd， mkinitrd就可以忽略ohci-hcd不存在这个事实了。