nexus/wiki/concepts/Read-Only-Root-Filesystem.md

title, type, tags, last_updated

title	type	tags	last_updated
Read Only Root Filesystem	concept	Container Security Kubernetes	2026-04-19

定义

只读根文件系统（Read-Only Root Filesystem）是一种容器安全配置，将容器的根文件系统设置为只读状态，防止未授权的文件创建和修改。

实现方式

在 Kubernetes 中通过设置 readOnlyRootFilesystem: true 实现。

安全价值

• 防止恶意攻击者写入恶意文件
• 保护系统目录不被篡改
• 限制容器内恶意软件的活动范围
• 符合不可变基础设施最佳实践

相关资源

• 来源：CTP Topic 49 Container Lifecycle Hardening Standards
• 相关概念：Container-Lifecycle-Hardening