nexus/wiki/concepts/Read-Only-Root-Filesystem.md at 1e4716618db1dd1d623d06ec1b83f4252439cd07 - nexus - Gitea: Git with a cup of tea

ishenwei/nexus

Files

weishen 8341ee6cc4 Auto-sync: 2026-04-19 16:02

2026-04-19 16:02:56 +08:00

712 B

Raw Blame History

title, type, tags, last_updated

title

type

tags

last_updated

Read Only Root Filesystem

concept

Container

Security

Kubernetes

2026-04-19

定义

只读根文件系统（Read-Only Root Filesystem）是一种容器安全配置，将容器的根文件系统设置为只读状态，防止未授权的文件创建和修改。

实现方式

在 Kubernetes 中通过设置 readOnlyRootFilesystem: true 实现。

安全价值

防止恶意攻击者写入恶意文件
保护系统目录不被篡改
限制容器内恶意软件的活动范围
符合不可变基础设施最佳实践

相关资源

来源：CTP Topic 49 Container Lifecycle Hardening Standards
相关概念：Container-Lifecycle-Hardening