componefs е нова файлова система, предложена за Linux
Наскоро новината съобщи това Александър Ларсон, създателят на Flatpak в Red Hat, има публикува визуализация на корекциите, които изпълняват файловата система ComposeFS за ядрото на Linux.
Предложената файлова система наподобява Squashfs и също така е подходящ за монтиране на изображения само за четене. Разликите се свеждат до способността на ComposeFS да споделя ефективно съдържанието на множество монтирани дискови изображения и поддръжка за удостоверяване на четими данни.
Областите на приложение, където ComposeFS може да се търси, са монтиране на изображения на контейнери и използване на подобно на Git OSTree хранилище. Това позволява файловете със съдържание да се споделят между изображенията, дори ако метаданните (като клеймото за време или собственост на файла) варират между изображенията.
ComposeFS използва базиран на съдържание модел за съхранение на адреси, това означава, че основният идентификатор не е името на файла, а хеш на съдържанието на файла. Този модел осигурява дедупликация и позволява да се съхранява само едно копие на едни и същи файлове, намерени на различни монтирани дялове.
По същество composefs е начин за изграждане и използване на изображения само за четене. които се използват подобно на начина, по който бихте използвали, например, loopback squashfs изображения. В допълнение към това composefs има две нови основи Характеристика. Първо, позволява споделяне на файлови данни (както на диск, така и на кеш на страниците) между изображенията и второ, имате dm-verity like валидиране на четене.
Например, изображенията на контейнера съдържат много общи файлове система и с Composefs, всеки от тези файлове ще бъде споделен от всички монтирани изображения, без използването на трикове като пренасочване с твърди връзки.
В същото време споделените файлове не само се съхраняват като едно копие на диска, но също така се управляват от запис в кеша на страницата, което позволява да се запазват както диск, така и RAM.
Composefs също така поддържа проверка на fs-verity на файлове със съдържание. Използвайки това, дайджестът на файловете със съдържание се съхранява в изображението и composefs ще потвърди, че файлът със съдържание, който използва, има дайджест fs-verity, активиран за съвпадение. Това означава, че архивното съдържание не може да бъде променено по никакъв начин (по погрешка или злонамерено), без да бъде открито при използване на файла.
Можете също да използвате fs-verity на самия файл с изображение и да подадете очаквания fs-verity дайджест като опция за монтиране, която ще бъде валидирана от composefs. В този случай ние имаме пълно доверие както в данните, така и в метаданните на монтирания файл. Това разрешава слабост, която fs-verity има, когато се използва самостоятелно, тъй като може да проверява само файлови данни, не и метаданни.
За да се спести дисково пространство, данните и метаданните са разделени в монтирани изображения. Когато се монтира, посочете:
- Двоичен индекс, който съдържа всички метаданни на файловата система, имена на файлове, разрешения и друга информация, с изключение на действителното съдържание на файловете.
- Базовата директория, където се съхранява съдържанието на всички монтирани файлове с изображения. Файловете се съхраняват спрямо хеша на тяхното съдържание.
- Създава се двоичен индекс за всяко FS изображение и основната директория е една и съща за всички изображения. За да проверите съдържанието на отделни файлове и цялото изображение при споделени условия на съхранение, може да се използва механизмът fs-verity, който при достъп до файлове проверява дали хешовете, посочени в двоичния индекс, съответстват на съдържанието. real (т.е. ако нападател направи промяна във файл в основната директория или данните са повредени в резултат на повреда, такова съгласуване ще разкрие несъответствие).
най-накрая, ако сте заинтересовани да научите повече за това, можете да проверите подробности в следващия линк.