我经过几天的使用，v25的磐石大致弄明白了。

首先，它采用了overlayfs+ostree的方式，为了通俗点讲解，我先假设一个模型，如下：

1. 系统层 (只读，OSTree管理) ← 基础操作系统
2. 数据层 (只读，OSTree管理) ← ostree checkout层
3. 持久化修改层 (可写，非版本化) ← 跨会话的持久修改
4. 会话修改层 (可写，非版本化) ← 当前会话的临时修改
5. workdir层 ← overlay工作目录

那么尝试使用overlay挂载的命令中，其参数就是：

-olowerdir=持久化修改层:数据层:系统层,upperdir=会话修改层,workdir=workdir目录

而实际v25上，它的opt就是这样的挂载的，其参数如下：

opt-overlay on /opt type overlay (rw,relatime,
lowerdir=/root/persistent/ostree/data/402649.../checkout/opt:/root/ostree/deploy/deepin/deploy/d1837b4.../opt,
upperdir=/root/persistent/overlay/data/402649d.../opt-upper,
workdir=/root/persistent/overlay/data/402649d.../opt-work)

可以看到lowerdir由三个层组成：

1.系统层 是最基础的系统，没有修改，没有更新 

2.数据层 是修改层，但由ostree管理，可以进行快照和回滚 

3.持久化修改层 是修改层，普通文件夹，可以通过拷贝方式（cp或者rsync）备份，数据来源自会话修改层，用于持久化会话修改层的修改数据

而upperdir只有一层：会话修改层，这是当前用户修改后数据保留的地方，重启后丢弃

workdir只有一层： workdir目录，该目录是overlay的工作目录，不参与任何备份或还原，与当前会话修改层同生共死

至于回滚、更新之类的操作都基于ostree，就不细究了，因为实现方式有很多

现在，它有个很关键的功能，就是让/usr只读，并且还能让安装deb包等修改/usr目录的行为能正常执行，原理如下：

将usr挂载为只读，但是为了让dpkg或apt-get命令能够装应用到usr目录，V25做了如下动作：

1.将 apt, apt-get, aptitude, dpkg, update-initramfs全部软链接到/usr/libexec/deepin-immutable-ctl/immutable-adapter.sh，如下：

lzh@lzh-PC:/lib/systemd/system$ ls -al /usr/sbin/update-initramfs ; ls -al /usr/bin/{apt,apt-get,dpkg}

lrwxrwxrwx 5 root root 54 7月 2日 15:05 /usr/sbin/update-initramfs -> /usr/libexec/deepin-immutable-ctl/immutable-adapter.sh lrwxrwxrwx 5 root root 54 7月 2日 15:05 /usr/bin/apt -> /usr/libexec/deepin-immutable-ctl/immutable-adapter.sh
lrwxrwxrwx 5 root root 54 7月 2日 15:05 /usr/bin/apt-get -> /usr/libexec/deepin-immutable-ctl/immutable-adapter.sh
lrwxrwxrwx 5 root root 54 7月 2日 15:05 /usr/bin/dpkg -> /usr/libexec/deepin-immutable-ctl/immutable-adapter.sh

2.immutable-adapter.sh实现如下功能：

用户执行命令 → 脚本检查条件 → 决定如何执行
↓
apt install vim → 拦截 → 通过 deepin-immutable-ctl 执行
↓
结果保存到会话修改层（upperdir）（因为upperdir是可读可写，只读的是/usr）

所以deepin是将所有 apt, apt-get, aptitude, dpkg, update-initramfs的命令都做了处理，他们修改的实际是会话修改层的usr，deepin咋实现的我没有看到（因为它们实现都在/usr/sbin/deepin-immutable-ctl，这个是个二进制，没有源码可以分析），我估计是有可能在实际安装的时候将会话修改层挂载为/usr,安装完就

PS：创建只读的overlay的方式如下：

lzh@lzh-PC:~/Desktop/test$ sudo mount -t overlay usr-overlay -o ro,relatime,lowerdir=./lower,upperdir=./upper,workdir=./work ./m
请输入密码:
验证成功
lzh@lzh-PC:~/Desktop/test$ mkdir -p ./m/a
mkdir: 无法创建目录 "./m/a": 只读文件系统
lzh@lzh-PC:~/Desktop/test$ mkdir -p ./upper/a
lzh@lzh-PC:~/Desktop/test$ ls ./m
ls: 无法访问 './m/a': 没有那个文件或目录
a
lzh@lzh-PC:~/Desktop/test$ 

各位，想必大家看到了，v25的磐石功能，对于一些没有接触过git版本管理工具以及不熟悉文件系统的人来说，根本无法理解其命令做了什么，如果想要查询源码来学习其逻辑，尽管其版权申明是开源：

但实际是根本无法访问http://github.com/linuxdeepin/deepin-immutable-ctl，更别说细究其功能还更改了grub，劫持了initramfs（上文 update-initramfs被链接了）：

lzh@lzh-PC:~/Desktop$ dpkg -S deepin-immu
...
deepin-immutable-ctl 导致转移自：/etc/grub.d/10_linux
deepin-immutable-ctl 导致转移至：/etc/deepin-immutable-ctl/grub_d_10_linux
...

请问这样的开源系统，其他软件就不让客户用了吗，试想一下，如果用户安装overlayfs-root（一个开源软件）并且打开其功能，系统会乱成什么样？

最最关键的是这个软件它不开源，和它打配合的deepin-immutable-boot也不开源，普通用户想要参与完善提交修改也做不到

磐石不是一个保护系统的软件，它改变了底层生态环境，将桌面变成了一个系统备份空间+桌面系统的组合，并且极端的认为将/usr只读就是对系统的保护，实际上只是针对root用户主动修改/usr目录做限制，然而通过软件包安装的方式依旧可以完成对/usr目录的修改（修改在upperdir层，最后将修改提交至/usr即可），并且还可以可以通过root关闭只读保护，虽然需要重启才能生效；但是试想一下，为了达成这样的效果，牺牲了用户多少；又有多少用户能够熟练使用磐石来保护系统

虽然初心是好的，但这就好像是《苟在初圣魔门当人材》里的假持金丹一样，假持终究是假的，不是真的金丹；保护系统被做的像劫持系统一样，以后隐形的问题会逐一暴露出来。