Jaderné noviny – 13. 10. 2011: Bezpečné mazání na ext4

24. 10. 2011 | Luboš Doležel | Jaderné noviny | 4117×

• Aktuální verze jádra: 3.1-rc9
• Citáty týdne: Matthew Garrett, Andrew Morton
• Co si údržbáři přejí v Linuxu
• Bezpečné mazání souborů na ext4

Aktuální verze jádra: 3.1-rc9

Aktuální vývojovou verzí jádra je nadále 3.1-rc9, během uplynulého týdne nevyšly žádné předverze. Konečná verze 3.1 by měla vyjít brzo, jakmile se Linus vrátí z dovolené.

Na kernel.org se v posledním týdnu vrátila řada subsystému; věci by se měly vrátit k něčemu, co připomíná normální stav, do otevření začleňovacího okna pro verzi 3.2.

Stabilní aktualizace: během uplynulého týdne žádné nevyšly. Verze 3.0.7 je v době psaní tohoto textu ve fázi posuzování; vydání můžeme očekávat 13. října nebo později.

Citáty týdne: Matthew Garrett, Andrew Morton

Moje PhD je z oboru biologie, pracoval jsem na ovocných muškách. Je to sada špatně dokumentovaných porušení pravidel, která fungují jen díky vedlejším účinkům na kvantové úrovni a mají tendenci umírat v nevhodnou dobu. Skládají se ze 165 milionů základů bajtkódového jazyka, který prakticky nelze bootstrapovat a který prochází řadou mezipodob, než dělá něco užitečného. Je to hrozná oblast na dělání rigorózních prací, protože vaše snahy dát tomu, na co se díváte, nějaký smysluplný pořádek budou s téměř naprostou jistotou dostatečně naivní na to, aby vaše výsledky připomínaly skutečnost spíš náhodou než úmyslně.

-- Proč Matthew Garrett dává přednost UEFI

To je ale divná funkce. Nemůžu se dočkat, až uvidím dokumentaci.

-- Andrew Morton

Co si údržbáři přejí v Linuxu

Kay Sievers, Lennart Poettering a Harald Hoyer zveřejnili seznam svých přání obsahující funkce, které by oni (a ostatní údržbáři [plumbers]) rádi viděli v Linuxu. Seznam zahrnuje přání z řady různých oblastí včetně souborových systémů, capabilities, řídících skupin [control groups], načítání modulů, unixových doménových socketů a ještě více.

Bezpečné mazání souborů na ext4

Odstranění souboru postačí jen co se adresářové struktury týče; důležitý, nezazálohovaný dokument zmizí ještě dřív, než neopatrný uživatel vůbec zvedne svůj kajícný prst z klávesy „enter“. Na úložišti však mohou části celého souboru odsouzeného k zániku přežívat navždy. Dostatečně odhodlanému člověku se často může podařit soubor, o kterém se myslelo, že je pryč, obnovit. V některých situacích může být takové přežívání dat velmi nežádoucí. Skartovačky existují pro situace, kdy je obnova „smazaného“ papírového dokumentu nežádoucí; určitě má smysl, aby podobná funkčnost byla i pro dokumenty v souborových systémech.

Pohled na manuálovou stránku chattr odhalí, že funkce „bezpečného smazání“ může být u souboru povolena nastavením správného atributu. Jediným problémem je to, že většina souborových systémů na tento příznak nebere ohled; je to takové prázdné bezpečnostní divadýlko. Dokonce i TSA to umí líp. Sada patchů pro bezpečné mazání na ext4 od Allisona Hendersona může tento nedostatek ext4 nechat zmizet, ale nejdřív je tu pár věcí, které je třeba opravit jako první.

Hlavní část patche je docela přímočará: pokud se část nebo celý soubor maže, relevantní bloky budou jako součást této operace synchronně přepsány. Ve výchozím stavu jsou bloky přepsány nulami, ale je možné nechat použít náhodné bajty z jaderného zdroje entropie. Je třeba si dát pozor, pokud dotyčný soubor obsahuje mezery – přemazávání bloků, které neexistují, by nefungovalo. Je tam také nějaká logika, která využívá funkce „bezpečného skartování“ podporovaného u některých zařízení (hlavně SSD). Bezpečné skartování řeší mazání nějakým vnitřním způsobem – snad relevantní bloky označí jako nečitelné, dokud je něco nepřepíše – takže pak nemusí jádro dělat extra I/O.

Tady ale práce nekončí. Samotná existence souboru – nebo informace obsažené v jeho názvu – by mohly taktéž být důvěrné. Takže kód pro bezpečné mazání musí vyčistit i adresářovou položku spojenou se souborem (pokud je soubor mazán, a ne jen zkracován, samozřejmě). Přiřazená metadata – rozšířené atributy, ACL apod. – musí být taktéž zlikvidována.

Pak je tu malý problém se žurnálem. Žurnál vždy může obsahovat libovolné množství bloků z mazaného souboru, a to dokonce v několika verzích. Proto se musí pročistit i žurnál, ale to se musí udělat opatrně: pročištění bloků žurnálu, než je příslušná transakce zapsána, by mohlo vést k poškození souborového systému nebo nemožnosti obnovit se po pádu. Takže nejprve musí proběhnout synchronní flush žurnálu.

Jakmile nám v cestě nestojí nedokončené transakce, (nyní starý a nepotřebný) žurnál může být pročištěn. Jediným problémem je, že žurnál neudržuje vztah mezi interními bloky a soubory, do kterých náleží. Patch tento problém řeší přidáním nového mapování datových struktur mezi bloky žurnálu a souborovými bloky; kód pro bezpečné mazání pak projde tyto struktury, aby našel bloky, které je třeba přepsat.

Kód pro pročištění žurnálu se setkal s připomínkami ze strany vývojářů; prvním problémem je, že bloky adresářů a metadat nejsou ze žurnálu odstraněny. Vetší stížností ale bylo to, že dochází k přehnanému míchání dvou vrstev; souborový systém by opravdu neměl hluboce chápat fungování žurnálu. Konečným následkem je to, že pročišťovací práce se dost možná dostane i do žurnálové vrstvy jbd2; přidanou hodnotou je to, že by tohoto pak mohly využívat i další souborové systémy.

Darrick Wong také poznamenal, že samotné mapování bloků není do žurnálu zapisováno; pokud by systém zhavaroval dříve, než byl žurnál pročištěn, k pročištění by pak po restartu nedošlo. Navrhl, že souborové systémy by měly označit bloky, které je nutné bezpečně smazat v době, kdy jsou poprvé přidávány do transakce v žurnálu; odtamtud by se o to postaral kód žurnálu. To vypadá jako čistší řešení, ale je tu samozřejmě háček.

Háčkem je to, že neexistuje způsob, jak vytvořit soubor s nastaveným atributem „bezpečně smazat“; tento atribut musí být přidán až po této vytvoření. Člověk by předpokládal, že uživatelé požádají o bezpečné mazání, než do souboru něco zapíšou, ale související informace (například jméno souboru) musí existovat, ještě než je soubor takto označen. V současném POSIX API to nejde opravit.

Darrick navrhl několik způsobů, jak tento problém odstranit. Jedním je to prostě vzdát a říct vývojářům, že pokud je důležité i jméno souboru, tak by měli souboru dát dočasný název, nastavit příznak „bezpečného mazání“ a pak soubor přejmenovat na skutečný název. Alternativou je označit bloky všech nově vytvořených souborů, že potřebují přepis; to by odstranilo problém s nastavováním atributu za cenu zpomalení všech operací vytváření souborů. Nebo by, jak řekl, mohl žurnál udržovat mapování mezi bloky a soubory, skoro jako to dělá Allisonův patch. Další možností by bylo označit celý souborový systém, že potřebuje bezpečné smazání; na této funkci se už pracuje, ale její povolení bude zjevně mít velký dopad na výkon.

Závěrem je to, že je tu několik detailů, na kterých je ještě třeba zapracovat. Nicméně se tato funkce zdá být užitečná pro uživatele, kteří mají obavy, že data z jejich souborů někde zůstanou i po smazání souborů. Snad někdy kolem jádra 3.3 nebo později už nebude chattr +s na ext4 jen špatným bezpečnostním divadýlkem.

Nástroje: Tisk bez diskuse