rootfs只读与overlayfs

Question

我们需要一个只读的rootfs，因为安全问题(不改变FS在闪存是可能的)。其他可写分区可与只读rootfs (例如，日志)一起使用。

就简单性而言，我们宁愿使用rootfs只读方式，而不是使用overlayfs。然而，我担心某些进程可能会尝试写入rootfs，然后会失败。

我们的系统很小很小，只有一个或两个过程。(还包含selinux和auditd)。

在Linux系统中，总是可以使用rootfs作为只读，还是在这种情况下需要使用overlayfs？

Answer 1

绝对有可能有一个只读根文件系统。这在服务器类型或工作站类型的安装中是不方便和不常见的，但在嵌入式系统中很常见。只读根文件系统有一些限制，主要是：

• 您不能在它上升级任何东西，也不能添加任何软件(除了在其他文件系统上，例如，在一个单独的分区上使用/usr/local )。如果您通过替换flash中的文件系统映像作为一个整体进行升级，这一点就不重要了。
• 您不能在/etc中重新配置任何东西。这意味着任何配置都必须以不同的方式完成；典型的解决方案包括：
  • 通过其他目录中的文件(然后需要以不同的方式配置应用程序)；
  • 通过符号链接到另一个目录；
  • 动态的，例如，通过从NVRAM读取配置变量的脚本。

典型的受影响数据包括网络配置、时区、用户认证信息等。

• 如果将相同的文件系统映像部署到多台计算机，则需要将所有特定于机器的数据安排在文件系统映像之外。这包括主机名、SSH服务器密钥等。
• 您通常需要/var下的一些持久可写文件，例如/var/log下的日志和随机种子文件(除非有硬件RNG，否则需要)。