本文介绍了Docker中的OverlayFS技术，强调其分层和共享特性。OverlayFS通过叠加多个目录形成合并视图，支持高效的读写操作。但在修改lowerdir中的文件时会触发copy-on-write，影响性能。文章还讨论了手动构建分层镜像的过程、删除文件的whiteout机制，以及OverlayFS的性能特征和在Docker中的应用。建议在生产环境中将数据库文件放在卷上，以避免copy-up带来的性能问题。

#JS混淆解密 #API-RCE #OverlayFS权限提升

Docker OverlayFS的发展分为两个阶段：2014年，OverlayFS第一个版本被合并到Linux内核3.18版本中，此时在Docker中被称为overlay文件驱动；Linux内核在4.0版本对overlay做了很多改进，此时的OverlayFS被称为overlay2。

绿盟科技CERT监测发现Linux OverlayFS权限提升漏洞(CVE-2023-0386)的PoC，攻击者可利用该漏洞提升至ROOT权限。建议受影响用户尽快采取措施进行防护，官方已发布补丁修复此漏洞。

在 B 站 1 看见该漏洞的分析视频，并且到目前，我在内网也用到很多次该漏洞提权，也正好学习一下。CVE-2021-3493 是由于 Linux 内核中的 OverlayFS 文件系统没有正确根据 user namespace 校……

《耍耍OverlayFS》自Linux3.4之后，就可以使用overlay了。来，耍耍。```bash...