componefs on uusi tiedostojärjestelmä, jota ehdotetaan Linuxille
Äskettäin uutiset rikkoivat sen Aleksanteri Larsson, Flatpakin luoja Red Hatissa, on julkaisi esikatselun toteutettavista korjaustiedostoista tiedostojärjestelmä ComposeFS Linux-ytimelle.
Ehdotettu tiedostojärjestelmä muistuttaa squashfia ja sopii myös vain luku -kuvien asentamiseen. Erot tiivistyvät ComposeFS:n kykyyn jakaa tehokkaasti useiden asennettujen levykuvien sisältö ja tukee luettavaa tietojen todennusta.
Sovellusalueita, joilla ComposeFS voi olla kysyntää, ovat konttikuvien asentaminen ja Git-tyyppisen OSTree-arkiston käyttö. Tämä mahdollistaa sisältötiedostojen jakamisen kuvien välillä, vaikka metatiedot (kuten aikaleimat tai tiedostojen omistajuus) vaihtelevat kuvien välillä.
ComposeFS käyttää sisältöpohjaista osoitetallennusmallia, eli ensisijainen tunniste ei ole tiedoston nimi, vaan tiedoston sisällön hash. Tämä malli mahdollistaa kopioinnin poistamisen ja sallii vain yhden kopion tallentamisen samoista tiedostoista, jotka löytyvät eri liitetyistä osioista.
Pohjimmiltaan composefs on tapa rakentaa ja käyttää vain luku -kuvia. joita käytetään samalla tavalla kuin käyttäisit esimerkiksi loopbackia squash kuvia. Tämän lisäksi kokoonpanoissa on kaksi uutta perusasiaa ominaisuudet. Ensinnäkin se mahdollistaa tiedostotietojen jakamisen (sekä levyllä että päällä sivun välimuisti) kuvien välillä, ja toiseksi sinulla on dm-verity like lue vahvistus.
Esimerkiksi säiliökuvat sisältävät monia yleisiä tiedostoja järjestelmässä ja Composefsissa, kaikki liitetyt kuvat jakavat kaikki nämä tiedostot ilman temppuja, kuten edelleenlähetystä kovien linkkien avulla.
Samanaikaisesti jaettuja tiedostoja ei tallenneta vain yhtenä kopiona levylle, vaan niitä hallitaan myös sivun välimuistissa olevan merkinnän avulla, mikä mahdollistaa sekä levyn että RAM-muistin tallentamisen.
Composefs tukee myös sisältötiedostojen fs-verity-tarkistusta. Tätä käyttämällä sisältötiedostojen tiivistelmä tallennetaan kuvaan ja kokoonpanot vahvistavat, että sen käyttämässä sisältötiedostossa on fs-verity-tiivistelmä, joka on otettu käyttöön vastaavuuksia varten. Tämä tarkoittaa, että taustasisältöä ei voi muuttaa millään tavalla (vahingossa tai pahantahtoisesti) ilman, että se havaitaan, kun tiedostoa käytetään.
Voit myös käyttää fs-verityä itse kuvatiedostossa ja välittää odotetun fs-verityn tiivistelmän liitännän vaihtoehtona, jonka composefs vahvistaa. Tässä tapauksessa luotamme täysin sekä liitetyn tiedoston tietoihin että metatietoihin. Tämä korjaa fs-verityn heikkouden, kun sitä käytetään yksinään, koska se voi tarkistaa vain tiedostotiedot, ei metatietoja.
Levytilan säästämiseksi tiedot ja metatiedot erotetaan liitetyissä kuvissa. Kun se on asennettu, määritä:
- Binäärihakemisto, joka sisältää kaikki tiedostojärjestelmän metatiedot, tiedostojen nimet, käyttöoikeudet ja muut tiedot paitsi tiedostojen todellisen sisällön.
- Perushakemisto, johon kaikkien liitettyjen kuvatiedostojen sisältö on tallennettu. Tiedostot tallennetaan suhteessa niiden sisällön hajautusarvoon.
- Binääriindeksi luodaan jokaiselle FS-kuvalle ja perushakemisto on sama kaikille kuville. Yksittäisten tiedostojen ja koko kuvan sisällön varmentamiseen jaetuissa säilytysolosuhteissa voidaan käyttää fs-verity-mekanismia, joka tiedostoja käytettäessä varmistaa, että binääriindeksissä määritetyt hajautusarvot vastaavat sisältöä. real (eli jos hyökkääjä tekee muutoksen perushakemiston tiedostoon tai tiedot vioittuvat epäonnistumisen seurauksena, tällainen täsmäytys paljastaa ristiriidan).
vihdoin jos olet kiinnostunut tietämään asiasta lisää, voit tarkistaa yksityiskohdat seuraavassa linkissä.