---
title: "Read Only Root Filesystem"
type: concept
tags: [Container, Security, Kubernetes]
last_updated: 2026-04-19
---

## 定义
只读根文件系统（Read-Only Root Filesystem）是一种容器安全配置，将容器的根文件系统设置为只读状态，防止未授权的文件创建和修改。

## 实现方式
在 Kubernetes 中通过设置 `readOnlyRootFilesystem: true` 实现。

## 安全价值
- 防止恶意攻击者写入恶意文件
- 保护系统目录不被篡改
- 限制容器内恶意软件的活动范围
- 符合不可变基础设施最佳实践

## 相关资源
- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
- 相关概念：[[Container-Lifecycle-Hardening]]