componefs เป็นระบบไฟล์ใหม่ที่เสนอสำหรับ Linux
ล่าสุดมีข่าวดังกล่าว Alexander Larsonผู้สร้าง Flatpak ที่ Red Hat ได้ โพสต์ตัวอย่างแพตช์ที่ใช้งาน ระบบไฟล์ ComposeFS สำหรับเคอร์เนล Linux
ระบบไฟล์ที่นำเสนอ คล้ายกับสควอช และยังเหมาะสำหรับการติดตั้งรูปภาพแบบอ่านอย่างเดียว ความแตกต่างเกิดขึ้นจากความสามารถของ ComposeFS ในการแบ่งปันเนื้อหาของดิสก์อิมเมจที่ติดตั้งหลายตัวอย่างมีประสิทธิภาพ และรองรับการตรวจสอบความถูกต้องของข้อมูลที่อ่านได้
พื้นที่แอปพลิเคชันที่ ComposeFS อาจเป็นที่ต้องการคือการติดตั้งอิมเมจคอนเทนเนอร์และใช้ที่เก็บ OSTree ที่เหมือน Git ซึ่งช่วยให้สามารถแชร์ไฟล์เนื้อหาระหว่างรูปภาพได้ แม้ว่าข้อมูลเมตา (เช่น การประทับเวลาหรือการเป็นเจ้าของไฟล์) จะแตกต่างกันไปในแต่ละรูปภาพ
ComposeFS ใช้โมเดลการจัดเก็บที่อยู่ตามเนื้อหา นั่นคือตัวระบุหลักไม่ใช่ชื่อไฟล์ แต่เป็นแฮชของเนื้อหาในไฟล์ รุ่นนี้ ให้การขจัดความซ้ำซ้อนและอนุญาตให้จัดเก็บสำเนาเดียวเท่านั้น ของไฟล์เดียวกันที่พบในพาร์ติชันที่ติดตั้งต่างกัน
โดยพื้นฐานแล้ว การเขียนคอมโพสิชันเป็นวิธีสร้างและใช้รูปภาพแบบอ่านอย่างเดียว ซึ่งใช้คล้ายกับวิธีที่คุณใช้ เช่น ย้อนกลับ ภาพสควอช นอกจากนี้องค์ประกอบนี้ยังมีพื้นฐานใหม่สองประการ คุณสมบัติ. ประการแรก อนุญาตให้แชร์ข้อมูลไฟล์ (ทั้งบนดิสก์และบน แคชของหน้า) ระหว่างรูปภาพและอย่างที่สองคุณมี dm-verity เช่น อ่านการตรวจสอบ
ตัวอย่างเช่น อิมเมจคอนเทนเนอร์มีไฟล์ทั่วไปจำนวนมาก ระบบและด้วย Composefs ไฟล์เหล่านี้แต่ละไฟล์จะถูกแชร์โดยอิมเมจที่ติดตั้งทั้งหมด โดยไม่ต้องใช้ลูกเล่น เช่น การส่งต่อด้วยฮาร์ดลิงก์
ในเวลาเดียวกัน ไฟล์ที่ใช้ร่วมกันไม่เพียงแต่จัดเก็บเป็นสำเนาเดียวบนดิสก์เท่านั้น แต่ยังได้รับการจัดการโดยรายการในแคชของเพจ ทำให้สามารถบันทึกทั้งดิสก์และ RAM ได้
Composefs ยังรองรับการตรวจสอบความถูกต้องของไฟล์เนื้อหาด้วย fs-verity เมื่อใช้สิ่งนี้ ไดเจสต์ของไฟล์เนื้อหาจะถูกจัดเก็บไว้ในอิมเมจ และคอมโพสิชันจะตรวจสอบว่าไฟล์เนื้อหาที่ใช้มีการไดเจสต์ fs-verity สำหรับการจับคู่ ซึ่งหมายความว่าเนื้อหาสำรองไม่สามารถเปลี่ยนแปลงในทางใดทางหนึ่ง (โดยไม่ได้ตั้งใจหรือเจตนาร้าย) โดยไม่ถูกตรวจพบเมื่อใช้ไฟล์
คุณยังสามารถใช้ fs-verity กับไฟล์รูปภาพเองและส่งผ่านการแยกย่อย fs-verity ที่คาดไว้เป็นตัวเลือกการเมานต์ ซึ่งจะถูกตรวจสอบโดย composionfs ในกรณีนี้ เรามีความมั่นใจเต็มที่ทั้งข้อมูลและข้อมูลเมตาของไฟล์ที่เมาท์ วิธีนี้จะแก้ไขจุดอ่อนที่ fs-verity มีเมื่อใช้เพียงอย่างเดียว โดยสามารถตรวจสอบได้เฉพาะข้อมูลไฟล์ ไม่ใช่ข้อมูลเมตา
เพื่อประหยัดพื้นที่ดิสก์ ข้อมูลและข้อมูลเมตาจะถูกแยกออกจากกันในอิมเมจที่เมาท์ เมื่อติดตั้ง ให้ระบุ:
- ดัชนีไบนารีที่มีข้อมูลเมตาของระบบไฟล์ ชื่อไฟล์ การอนุญาต และข้อมูลอื่นๆ ทั้งหมด ยกเว้นเนื้อหาจริงของไฟล์
- ไดเร็กทอรีฐานที่เก็บเนื้อหาของไฟล์อิมเมจที่เมาท์ทั้งหมด ไฟล์จะถูกจัดเก็บโดยสัมพันธ์กับแฮชของเนื้อหา
- ดัชนีไบนารีถูกสร้างขึ้นสำหรับแต่ละอิมเมจ FS และไดเร็กทอรีฐานจะเหมือนกันสำหรับอิมเมจทั้งหมด ในการตรวจสอบเนื้อหาของแต่ละไฟล์และภาพทั้งหมดภายใต้เงื่อนไขพื้นที่เก็บข้อมูลที่ใช้ร่วมกัน สามารถใช้กลไก fs-verity ซึ่งเมื่อเข้าถึงไฟล์ จะตรวจสอบว่าแฮชที่ระบุในดัชนีไบนารีตรงกับเนื้อหาจริง (นั่นคือ หากผู้โจมตีทำการเปลี่ยนแปลงไฟล์ในไดเร็กทอรีฐานหรือข้อมูลเสียหายอันเป็นผลมาจากความล้มเหลว การกระทบยอดดังกล่าวจะเปิดเผยความคลาดเคลื่อน)
ในที่สุดถ้าคุณเป็น สนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้คุณสามารถตรวจสอบ you รายละเอียดตามลิงค์ต่อไปนี้