ComposeFS, datotečni sustav kreatora Flatpaka

David Y. Naranjo

4 minuta

sastavni dijelovi

componefs je novi datotečni sustav predložen za Linux

Nedavno je vijest objavila to Alexander Larson, tvorac Flatpaka u Red Hatu, ima objavio je pregled zakrpa koje implementiraju datotečni sustav ComposeFS za Linux kernel.

Predloženi sustav datoteka podsjeća na Squashfs a prikladan je i za montiranje slika samo za čitanje. Razlike se svode na sposobnost ComposeFS-a da učinkovito dijeli sadržaj više montiranih slika diska i podršku za autentifikaciju čitljivih podataka.

Područja primjene u kojima ComposeFS može biti tražen su montiranje slika spremnika i korištenje OSTree repozitorija nalik na Git. To omogućuje dijeljenje datoteka sadržaja između slika, čak i ako se metapodaci (kao što su vremenske oznake ili vlasništvo datoteke) razlikuju među slikama.

ComposeFS koristi model pohrane adresiranja temeljen na sadržaju, to jest, primarni identifikator nije naziv datoteke, već hash sadržaja datoteke. Ovaj model pruža deduplikaciju i omogućuje pohranu samo jedne kopije istih datoteka pronađenih na različitim montiranim particijama.

U biti, composefs je način za izradu i korištenje slika samo za čitanje. koji se koriste slično kao što biste koristili, na primjer, povratnu petlju slike skvoša. Uz ovaj composef ima dvije nove osnove značajke. Prvo, omogućuje dijeljenje podataka datoteke (i na disku i na predmemorija stranice) između slika, a drugo imate dm-verity like provjera valjanosti čitanja.

Na primjer, the slike spremnika sadrže mnoge uobičajene datoteke sustava i s Composefom, svaku od ovih datoteka dijelit će sve montirane slike, bez upotrebe trikova poput prosljeđivanja tvrdim vezama.

U isto vrijeme, dijeljene datoteke ne samo da se pohranjuju kao jedna kopija na disku, već se njima upravlja i unosom u predmemoriju stranice, što omogućuje spremanje i diska i RAM-a.

Composefs također podržava fs-verity provjeru valjanosti datoteka sadržaja. Koristeći to, sažetak datoteka sadržaja pohranjuje se u sliku i composefs će potvrditi da datoteka sadržaja koju koristi ima fs-verity sažetak omogućen za podudaranje. To znači da se sadržaj pozadine ne može mijenjati ni na koji način (greškom ili zlom namjerom), a da se ne otkrije kada se datoteka koristi.

Također možete koristiti fs-verity na samoj slikovnoj datoteci i proslijediti očekivani fs-verity sažetak kao opciju montiranja, koju će potvrditi composefs. U ovom slučaju, imamo puno povjerenje u podatke i metapodatke montirane datoteke. Ovo rješava slabost koju ima fs-verity kada se koristi sam, a to je da može provjeriti samo podatke datoteke, ne i metapodatke.

Radi uštede prostora na disku, podaci i metapodaci su odvojeni u montiranim slikama. Kada se montira, navedite:

  • Binarni indeks koji sadrži sve metapodatke datotečnog sustava, nazive datoteka, dopuštenja i druge informacije osim stvarnog sadržaja datoteka.
  • Osnovni direktorij u kojem je pohranjen sadržaj svih montiranih slikovnih datoteka. Datoteke se pohranjuju u odnosu na hash njihovog sadržaja.
  • Za svaku FS sliku kreira se binarni indeks, a osnovni direktorij je isti za sve slike. Za provjeru sadržaja pojedinačnih datoteka i cijele slike u uvjetima zajedničke pohrane, može se koristiti mehanizam fs-verity, koji prilikom pristupa datotekama provjerava odgovaraju li hashovi navedeni u binarnom indeksu sadržaju. real (tj. ako napadač napravi promjenu u datoteci u osnovnom direktoriju ili su podaci oštećeni kao rezultat pogreške, takvo usklađivanje će otkriti odstupanje).

konačno ako jesi zainteresiran za saznanje više o tome, možete provjeriti pojedinosti na sljedećem linku.