componefs는 Linux용으로 제안된 새로운 파일 시스템입니다.
최근 뉴스는 알렉산더 라르손, Red Hat의 Flatpak 창시자는 구현하는 패치의 미리 보기를 게시했습니다. 파일 시스템 Linux 커널용 ComposeFS.
제안된 파일 시스템 Squashfs와 유사 읽기 전용 이미지를 마운트하는 데에도 적합합니다. 차이점은 여러 마운트된 디스크 이미지의 콘텐츠를 효율적으로 공유하고 읽을 수 있는 데이터 인증을 지원하는 ComposeFS의 기능으로 귀결됩니다.
ComposeFS가 필요할 수 있는 애플리케이션 영역은 컨테이너 이미지를 마운트하고 Git과 같은 OSTree 리포지토리를 사용하는 것입니다. 이를 통해 이미지 간에 메타데이터(예: 타임스탬프 또는 파일 소유권)가 다른 경우에도 콘텐츠 파일을 이미지 간에 공유할 수 있습니다.
ComposeFS는 콘텐츠 기반 주소 지정 스토리지 모델을 사용합니다. 즉, 기본 식별자는 파일 이름이 아니라 파일 내용의 해시입니다. 이 모델 중복 제거를 제공하고 하나의 사본만 저장할 수 있습니다. 마운트된 다른 파티션에서 발견된 동일한 파일의
본질적으로 composefs는 읽기 전용 이미지를 빌드하고 사용하는 방법입니다. 예를 들어 루프백을 사용하는 방법과 유사하게 사용됩니다. 스쿼시 이미지. 이 composefs 외에도 두 가지 새로운 기본 사항이 있습니다. 특징. 첫째, 파일 데이터를 공유할 수 있습니다(디스크와 페이지 캐시), 두 번째로 다음과 같은 dm-verity가 있습니다. 유효성 검사를 읽습니다.
예를 들어 컨테이너 이미지에는 많은 공통 파일이 포함되어 있습니다. 시스템 및 Composefs를 사용하면 하드 링크를 통한 전달과 같은 트릭을 사용하지 않고 이러한 각 파일이 마운트된 모든 이미지에서 공유됩니다.
동시에 공유 파일은 디스크에 단일 복사본으로 저장될 뿐만 아니라 페이지 캐시의 항목으로 관리되므로 디스크와 RAM을 모두 저장할 수 있습니다.
Composefs는 콘텐츠 파일의 fs-verity 유효성 검사도 지원합니다. 이를 사용하여 콘텐츠 파일의 다이제스트가 이미지에 저장되고 composefs는 사용하는 콘텐츠 파일에 일치를 위해 활성화된 fs-verity 다이제스트가 있는지 확인합니다. 즉, 백업 콘텐츠는 파일이 사용될 때 감지되지 않고 어떤 식으로든(실수 또는 악의로) 변경될 수 없습니다.
또한 이미지 파일 자체에서 fs-verity를 사용하고 예상되는 fs-verity 다이제스트를 마운트 옵션으로 전달할 수 있으며 이는 composefs에서 유효성을 검사합니다. 이 경우 마운트된 파일의 데이터와 메타데이터 모두를 완전히 신뢰합니다. 이는 메타데이터가 아닌 파일 데이터만 확인할 수 있다는 점에서 fs-verity가 단독으로 사용될 때 갖는 약점을 해결합니다.
디스크 공간을 절약하기 위해 데이터와 메타데이터는 마운트된 이미지에서 분리됩니다. 마운트 시 다음을 지정합니다.
- 파일의 실제 내용을 제외한 모든 파일 시스템 메타데이터, 파일 이름, 권한 및 기타 정보를 포함하는 이진 인덱스입니다.
- 탑재된 모든 이미지 파일의 내용이 저장되는 기본 디렉터리입니다. 파일은 콘텐츠의 해시를 기준으로 저장됩니다.
- 각 FS 이미지에 대해 이진 인덱스가 생성되며 기본 디렉터리는 모든 이미지에 대해 동일합니다. 공유 저장 조건에서 개별 파일의 내용과 전체 이미지를 확인하기 위해 fs-verity 메커니즘을 사용할 수 있는데, 이는 파일에 액세스할 때 이진 인덱스에 지정된 해시가 해당 내용에 해당하는지 확인합니다. 공격자가 기본 디렉터리의 파일을 변경하거나 오류로 인해 데이터가 손상되면 이러한 조정을 통해 불일치가 드러납니다.
마침내 당신이 있다면 그것에 대해 더 알고 싶어, 당신은 확인할 수 있습니다 다음 링크에서 세부 사항.