22 lines
712 B
Markdown
22 lines
712 B
Markdown
---
|
||
title: "Read Only Root Filesystem"
|
||
type: concept
|
||
tags: [Container, Security, Kubernetes]
|
||
last_updated: 2026-04-19
|
||
---
|
||
|
||
## 定义
|
||
只读根文件系统(Read-Only Root Filesystem)是一种容器安全配置,将容器的根文件系统设置为只读状态,防止未授权的文件创建和修改。
|
||
|
||
## 实现方式
|
||
在 Kubernetes 中通过设置 `readOnlyRootFilesystem: true` 实现。
|
||
|
||
## 安全价值
|
||
- 防止恶意攻击者写入恶意文件
|
||
- 保护系统目录不被篡改
|
||
- 限制容器内恶意软件的活动范围
|
||
- 符合不可变基础设施最佳实践
|
||
|
||
## 相关资源
|
||
- 来源:[[CTP Topic 49 Container Lifecycle Hardening Standards]]
|
||
- 相关概念:[[Container-Lifecycle-Hardening]] |