componefs je novi sistem datoteka predložen za Linux
Nedavno je vijest razbila to Alexander Larson, kreator Flatpaka u Red Hatu, ima objavio pregled zakrpa koje implementiraju sistem datoteka ComposeFS za Linux kernel.
Predloženi sistem datoteka podsjeća na squashfs a također je pogodan za montiranje slika samo za čitanje. Razlike se svode na ComposeFS-ovu sposobnost da efikasno deli sadržaj više montiranih slika diska i podršku za autentifikaciju čitljivih podataka.
Područja primjene u kojima ComposeFS može biti tražena su montiranje slika kontejnera i korištenje OSTree spremišta sličnog Gitu. Ovo omogućava dijeljenje datoteka sadržaja između slika, čak i ako se metapodaci (kao što su vremenske oznake ili vlasništvo datoteke) razlikuju između slika.
ComposeFS koristi model za pohranu adresiranja baziran na sadržaju, to jest, primarni identifikator nije ime datoteke, već hash sadržaja datoteke. Ovaj model omogućava deduplikaciju i omogućava pohranjivanje samo jedne kopije istih datoteka pronađenih na različitim montiranim particijama.
U suštini, composefs je način za izgradnju i korištenje slika samo za čitanje. koji se koriste slično kao što biste koristili, na primjer, povratnu petlju squash slike. Pored ovog composefs ima dvije nove osnove karakteristike. Prvo, omogućava dijeljenje podataka datoteka (i na disku i na keš stranice) između slika, a drugo imate dm-verity like validacija čitanja.
Na primjer, the slike kontejnera sadrže mnoge uobičajene datoteke sistema i sa Composefs-om, svaki od ovih fajlova će biti zajednički sa svim montiranim slikama, bez upotrebe trikova kao što je prosleđivanje čvrstim vezama.
U isto vrijeme, dijeljene datoteke se ne pohranjuju samo kao jedna kopija na disku, već se njima upravlja i putem unosa u keš stranice, omogućavajući čuvanje i diska i RAM-a.
Composefs takođe podržava fs-verity validaciju datoteka sadržaja. Koristeći ovo, sažetak datoteka sadržaja se pohranjuje u sliku i composefs će potvrditi da datoteka sadržaja koju koristi ima fs-verity sažetak omogućen za uparivanje. To znači da se prateći sadržaj ne može promijeniti ni na koji način (greškom ili zlonamjerno) a da se ne otkrije kada se datoteka koristi.
Također možete koristiti fs-verity na samoj datoteci slike i proslijediti očekivani fs-verity sažetak kao opciju montiranja, što će biti potvrđeno composefs-ima. U ovom slučaju, imamo puno povjerenje i u podatke i u metapodatke montirane datoteke. Ovo rješava slabost koju fs-verity ima kada se koristi sama, u tome što može provjeriti samo podatke datoteke, ne i metapodatke.
Da bi se uštedio prostor na disku, podaci i metapodaci su odvojeni u montiranim slikama. Kada se montira, navedite:
- Binarni indeks koji sadrži sve metapodatke sistema datoteka, imena datoteka, dozvole i druge informacije osim stvarnog sadržaja datoteka.
- Osnovni direktorij u kojem se pohranjuje sadržaj svih montiranih slikovnih datoteka. Datoteke se pohranjuju u odnosu na hash njihovog sadržaja.
- Binarni indeks je kreiran za svaku FS sliku i osnovni direktorij je isti za sve slike. Za provjeru sadržaja pojedinačnih datoteka i cijele slike pod zajedničkim uvjetima skladištenja može se koristiti mehanizam fs-verity, koji prilikom pristupa datotekama provjerava da li hešovi navedeni u binarnom indeksu odgovaraju sadržaju. real (tj. ako napadač izvrši promjenu datoteke u osnovnom direktoriju ili su podaci oštećeni kao rezultat neuspjeha, takvo pomirenje će otkriti neslaganje).
konačno ako jesi zainteresovani da saznaju više o tome, možete provjeriti detalje na sljedećem linku.