由于安全问题,我们需要一个只读的 rootfs(不能更改闪存中的 FS)。其他可写分区可以与只读 rootfs 一起使用(例如用于日志)。
就简单性而言,我们宁愿使用 rootfs 只读方式,而不是overlayfs. 然而,我担心某些进程可能会尝试写入 rootfs,然后会失败。
我们的系统非常小而且极小,它只有一两个进程。(但也包含selinux和auditd)。
在 Linux 系统中是否总是可以将 rootfs 用作只读,或者在这种情况下是否需要使用 overlayfs?
AskOverflow.Dev
绝对有可能拥有一个只读的根文件系统。这在服务器类型或工作站类型的安装中不方便且不常见,但在嵌入式系统上很常见。只读根文件系统有一些限制,主要是:
/usr/local在一个单独的分区上)。如果您通过替换整个闪存中的文件系统映像进行升级,这不是问题。您无法重新配置
/etc. 这意味着任何配置都必须以不同的方式完成;典型的解决方案包括:典型的受影响数据包括网络配置、时区、用户认证信息等。
/var,例如日志/var/log和随机种子文件(除非您有硬件 RNG,否则需要)。