Auto-sync: 2026-04-19 16:02

wiki/concepts/Read-Only-Root-Filesystem.md

@@ -0,0 +1,22 @@
+---
+title: "Read Only Root Filesystem"
+type: concept
+tags: [Container, Security, Kubernetes]
+last_updated: 2026-04-19
+---
+
+## 定义
+只读根文件系统（Read-Only Root Filesystem）是一种容器安全配置，将容器的根文件系统设置为只读状态，防止未授权的文件创建和修改。
+
+## 实现方式
+在 Kubernetes 中通过设置 `readOnlyRootFilesystem: true` 实现。
+
+## 安全价值
+- 防止恶意攻击者写入恶意文件
+- 保护系统目录不被篡改
+- 限制容器内恶意软件的活动范围
+- 符合不可变基础设施最佳实践
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]