嵌入式系統(tǒng)如何從容器環(huán)境中的不可變Linux中獲益？不可變Linux是一個(gè)概念，其中基本Linux系統(tǒng)以只讀形式存在，不能修改或刪除。這個(gè)想法的核心是，一個(gè)基本的Linux存在著不可變的系統(tǒng)文件、目錄和功能，或者子區(qū)域通過被移到容器中而被模塊化。在可能的情況下，所做的每個(gè)更改都只是暫時(shí)和/或肯定分開的。

理論上，每次系統(tǒng)重新啟動(dòng)時(shí)都可以恢復(fù)初始狀態(tài)。更新是針對(duì)容器進(jìn)行的，并且是最大程度的更新。這使系統(tǒng)管理員能夠更好地了解正在發(fā)生的事情，因?yàn)橄到y(tǒng)更加一致；版本控制也更容易。結(jié)果是增加了系統(tǒng)穩(wěn)定性并降低了易錯(cuò)性。因此，不可變的Linux發(fā)行版提供了管理和安全優(yōu)勢(shì)，因此在需要網(wǎng)絡(luò)安全的嵌入式系統(tǒng)中非常有用。那么在這些系統(tǒng)中的潛在應(yīng)用和含義是什么呢？

如上所述，創(chuàng)建不可變Linux的基礎(chǔ)之一是采用（在很大程度上）只讀的基礎(chǔ)系統(tǒng)。這阻止了更改，從而提供了針對(duì)惡意軟件和未授權(quán)訪問的高級(jí)別安全性。因此，不可變的Linux概念是嵌入式系統(tǒng)的開發(fā)人員和系統(tǒng)架構(gòu)師感興趣的話題，并且特別感興趣的是，這些系統(tǒng)通常部署在安全性至關(guān)重要的關(guān)鍵環(huán)境中，并且能夠輕松執(zhí)行更新是特別有利的條件。

不可變Linux的技術(shù)和影響

因此，不可變的Linux對(duì)系統(tǒng)架構(gòu)和維護(hù)的影響是顯而易見的:如果攻擊者進(jìn)入系統(tǒng)，他最多只能在系統(tǒng)重啟之前在系統(tǒng)中胡作非為，而且只能在用戶空間或封裝區(qū)域（得益于容器化）進(jìn)行（如果有的話）。因此，與普通的Linux發(fā)行版相比，攻擊媒介幾乎總是有更長(zhǎng)的時(shí)間限制。它還受到不能永久改變?nèi)魏螙|西或任何東西的限制。安全關(guān)鍵模塊和區(qū)域因此可以得到更好的保護(hù)。有遠(yuǎn)見的、聰明的權(quán)限管理也支持系統(tǒng)的強(qiáng)化。

該系統(tǒng)可以以仍然高度靈活的方式進(jìn)行配置:例如，為了進(jìn)行由于軟件更新而變得必要的更改，可以簡(jiǎn)單地用新容器替換單獨(dú)的容器。這同樣適用于整個(gè)系統(tǒng)。這樣，在不削弱系統(tǒng)穩(wěn)定性的情況下，可以進(jìn)行大小不同的更改。

容器化允許各個(gè)模塊之間通過先前定義的、清晰概述的窄接口進(jìn)行通信。這樣，即使系統(tǒng)部件被更新，系統(tǒng)也能保持安全和穩(wěn)定，攻擊者也無法利用這一點(diǎn)為自己謀利。

不可變Linux在嵌入式系統(tǒng)中的可能應(yīng)用

由于網(wǎng)絡(luò)安全的加強(qiáng)或改善，不可變Linux的應(yīng)用領(lǐng)域（或者說優(yōu)勢(shì)）在物聯(lián)網(wǎng)領(lǐng)域。對(duì)于桌面用戶或經(jīng)典Linux愛好者來說，不可變僅從理論角度來看是有趣的。

然而，不可變正在推動(dòng)數(shù)字化向前發(fā)展:我們正處于將網(wǎng)絡(luò)安全注入嵌入式設(shè)備的浪潮的開端。歐盟最近通過了一項(xiàng)指令，對(duì)所有軟件都提出了安全要求。因此在未來，獲得CE標(biāo)志的產(chǎn)品將被要求滿足網(wǎng)絡(luò)安全要求。如果數(shù)據(jù)更安全一點(diǎn)，未來每臺(tái)聯(lián)網(wǎng)洗衣機(jī)、每臺(tái)智能恒溫器和每臺(tái)可穿戴設(shè)備都將受益。不幸的是，今天在許多地方幾乎沒有任何安全防范措施，一些知名制造商仍然使用硬編碼密碼等禁忌。不可變Linux可能是一種以節(jié)省成本的方式實(shí)現(xiàn)新需求的方法。

然而，不可變的Linux也用于純安全設(shè)備和模塊:網(wǎng)絡(luò)安全設(shè)備，如防火墻或入侵檢測(cè)系統(tǒng)。這些設(shè)備通常是黑客和其他犯罪分子的目標(biāo)，因?yàn)樗鼈兛刂浦W(wǎng)絡(luò)中的數(shù)據(jù)流，因此在防范網(wǎng)絡(luò)攻擊方面發(fā)揮著重要作用。

通過使用不可變的Linux，這些設(shè)備可以得到更好的保護(hù)。只要需要以節(jié)約成本和簡(jiǎn)單的方式提高安全性，就建議使用這種方法，但現(xiàn)在更緊迫的威脅或法規(guī)要求需要更全面的方法。你可以說，出于成本原因，要保護(hù)的資產(chǎn)需要優(yōu)先考慮:例如，如果黑客從計(jì)步器中獲取數(shù)據(jù)，這仍然令人惱火，但對(duì)于輸液泵來說，這是可以避免的。但是，這僅適用于無法建立云連接的設(shè)備。大量壓縮的計(jì)步器最終仍可能被用于分布式拒絕服務(wù)（DDOS）攻擊。

嵌入式系統(tǒng)中不可變Linux的另一個(gè)優(yōu)勢(shì)是創(chuàng)建通用系統(tǒng)映像的能力。通過在容器之間分配功能，可以對(duì)系統(tǒng)映像進(jìn)行一般性配置，這樣就可以在不同的設(shè)備上部署系統(tǒng)映像，而無需在每個(gè)設(shè)備上進(jìn)行重大定制。這可以節(jié)省時(shí)間和金錢，并提高系統(tǒng)可靠性。

結(jié)論

不可變Linux為提高嵌入式系統(tǒng)的安全性和可靠性提供了一種有前途的方法。通過使用容器和受保護(hù)的基本系統(tǒng)，可以更好地保護(hù)設(shè)備免受惡意軟件和未經(jīng)授權(quán)的訪問。不可變Linux的應(yīng)用多種多樣，從網(wǎng)絡(luò)安全設(shè)備到可穿戴設(shè)備。然而，在嵌入式系統(tǒng)中實(shí)現(xiàn)不可變Linux需要仔細(xì)的規(guī)劃和配置，以確保系統(tǒng)足夠靈活，可以進(jìn)行必要的更改。總的來說，不可變Linux提供了一種使嵌入式系統(tǒng)更加安全和可靠的有前途的方法，因此引起了開發(fā)人員和系統(tǒng)架構(gòu)師的極大興趣。