Jaderné noviny – 17. 5. 2012: Snazší práce s ext na výměnných médiích

4. 6. 2012 | Luboš Doležel | Jaderné noviny | 2884×

Obsah

• Aktuální verze jádra: 3.4-rc7
• Citáty týdne: Eric Dumazet, Neil Brown
• Konec Token Ringu?
• Nastavování uid/gid při připojování ext

Aktuální verze jádra: 3.4-rc7

Aktuální vývojová verze jádra je 3.4-rc7 vydaná 12. května. Tohle už je určitě poslední -rc – už se to doopravdy uklidnilo a dokonce jsem zvažoval, že to utnu už během tohoto víkendu, ale řekl jsem si, že další týden tomu neublíží. Vydání verze 3.4 čekejte v blízké budoucnosti.

Stabilní aktualizace: verze 3.3.6 vyšla 12. května, stejně jako 3.2.17. Verze 2.6.34.12 se aktuálně revidujte, čekejte ji 17. května nebo později.

Citáty týdne: Eric Dumazet, Neil Brown

Když Van [Jacobson] něco říká, tak si můžete být celkem jistí, že to je pravda, a pokud ne, tak jste jen nepochopili, co Van řekl.

-- Eric Dumazet

Nejostřejší částí sporu se zdá být to, že osvojením dobrých zvyků hned od začátku se můžete vyhnout nutnosti změn. To může být pravda, ale není to zrovna „user friendly“. Měli bychom věci dělat jednoduchými a bezpečnými, aby si lidé *nemuseli* opatrně vytvářet dobré zvyky.

-- Neil Brown

Konec Token Ringu?

Paul Gortmaker nedávno pročišťoval nějaký kód a narazil na kód Token Ringu, kterýmu mu překážel. To ho vedlo k otázce: používá to ještě někdo? Dospěl k názoru, že odpovědí je „ne“:

Hledání na internetu ukázalo, že i ti nejtvrdší nadšenci, co se šťourali v MCA/TR jen pro zábavu, to vzdali někdy mezi léty 2003 až 2005, tedy před příchodem gitu, a nikdy z jader 2.4.x nepřešli dál.

V reakci na to stvořil patch, který celý subsystém Token Ringu odstraní. Patch měl být jen ukázkou, aniž by autor doufal, že bude brzy začleněn. Paul chtěl hlavně vyvolat nějakou odezvu, aby věděl, jestli se mu podaří v dohledné době odstranění kódu dosáhnout.

Zatím se objevila jen jediná námitka. Navzdory tomu David Miller patch přijal a rovnou ho začlenil do repozitáře net-next. Pokud před dalším začleňovacím oknem nedojde k vyřazení, tak jádro 3.5 už podporu pro síťování přes Token Ring mít nebude.

Nastavování uid/gid při připojování ext

Při přenášení souborů na USB disku nebo jiném médiu mezi systémy můžete narazit na otravný problém: UID a GID souborů na médiu nemusí souhlasit s těmi na cílovém systému. Ve většině situací je na těchto zařízeních souborový systém VFAT, kterého se to netýká, protože informace o UID/GID vůbec neukládá. Ale pokud chce uživatel používat „pravý“ souborový systém, například nějaký z rodiny ext*, může se hodit mít možnost nastavit lokálního vlastníka souborů. Patch od Ludwiga Nussela se postará právě o to, a to na souborových systémech ext2, ext3 a ext4.

Patch vychází z něčeho, co Nussel vyrobil už před lety, jak poznamenal, když patch zaslal. Přidává dvě nové volby pro připojení souborových systémů ext. Podobně jako u VFATu patch přidává volby uid= a gid=, které zajistí, že všechny soubory budou mít vlastníka nastaveného na UID/GID. Když je souborový systém připojen s těmito volbami, soubory na disku mají svého původního vlastníka, ale navenek mají jiného. Vlastnictví souborů není možné měnit, ale nové soubory budou vytvořeny s uživatelem a skupinou nastavenými při připojení. Pokud chceme určit novým souborům odlišné UID/GID – aby odpovídaly těm na zařízení – stačí je přidat do připojovací volby:

uid=m:n
gid=x:y

což by zajistilo, že soubory budou mít navenek vlastníka m:x a budou vytvářeny s vlastníkem n:y.

Jedna z prvních otázek se týkala umístění kódu do konkrétních souborových systémů místo do VFS. I když se VFS zdá být správným místem, Ted Ts'o upozornil, že to tam není jak snadno udělat:

Ts'o se přikláněl k první variantě, ale později neochotně kývnul na duplikaci kódu. V jeho očích nemělo umístění do VFS až taková pozitiva.

Když Nussel 10. května znovu poslal patch, tak se diskuze trochu obnovila. Nejprve Jan Kara a Ts'o chtěli, aby byl patch rozdělen na tři části (pro ext2, 3 a 4), což Nussel udělal hned následující den. Jenže Roland Eggner a Boaz Harrosh měli obavy kvůli celému nápadu. Obcházení omezení přístupu u souborů přes připojovací volbu není podle nich rozumným řešením něčeho, co je ryze administrační problém.

Eggner popsal své „řešení“ problému na systémech, které spravuje: vytváří a používá seznam statických UID a GID. Jeho názorem je: Pokud se UID liší mezi stroji, kde se předpokládá výměna souborů, tak je to chyba administrátora, nikoliv nedostatek jádra. Výměna souborů se systémem, kde se to nepředpokládalo, stejně podle něj vyžaduje práva roota, takže připojovací volba není potřeba.

Stejně jako Eggner má i Harrosh obavy o bezpečnostní problémy. Navíc nevidí na souborových systémech ext nic zvláštního, co se vyměnitelných médií týče, s tím, že VFAT je převažující volbou. Mimo to zpochybňuje definici „vyměnitelných médií“ a poukazuje na to, že tento problém je častý i ve světě NFS: neustále narážíme na vícero sad uid/gid, a přesto kvůli tomu nechceme vypálit díru do bezpečnostních práv POSIXu.

Ale Neil Brown má na to trochu jiný pohled. Poznamenal, že VFAT trpí omezením velikosti souboru na 4 GB a nemožností ukládat některé znaky v názvech souborů. Kromě toho, když už má někdo fyzický přístup k médiu, tak je svým způsobem vždy „vyměnitelné“, takže také může chtít mít k datům snadný přístup:

[...] pokud mi souborový systém „patří“ – ať už proto, že mám v ruce dané nezašifrované zařízení nebo protože mám šifrovací klíč – tak chci mít možnost využít toto „vlastnictví“ k tomu, abych měl k obsahu souborového systému plný přístup. Pokud jej nedostanu, tak je to jen hloupá překážka.

Když uživatel vloží USB flashku nebo disk naformátovaný na VFAT, tak vhodně nastavený systém dá uživateli plný přístup pomocí voleb uid/gid. Nusselův patch přidává tu samou možnost do ext. I když by to mohlo vést k problémům, tak ty tu s námi přesto jsou, na což Brown poukázal:

U zařízení, nad kterými ztratíte fyzickou kontrolu, stejně nemůžete zabránit destrukci dat a jediným použitelným řešením pro zajištění soukromí dat je šifrování. Předstírat, že práva u souborů něco znamenají, je neobyčejně naivní.

Zatímco Harrosh má obavy, že automountery začnou tyto volby používat, Brown je přesvědčen, že to u vyměnitelných zařízení má smysl. Nussel v patchi zmiňuje, že by to bylo možné dělat staticky přes /etc/fstab nebo dynamicky přes pravidla v udevu. Alternativou navrhovanou Harroshem je to, že root může disk nejprve připojit a pak udělat chmod (nebo chown) na všechny soubory. To vypadá jako zbytečná makačka, která by se musela opakovat snad při každém připojení zařízení k novému systému. Eggnerova metoda je jistě možná, ale do určité míry věci komplikuje a není to tak „user friendly“, jak Brown poznamenal.

Nakonec jde jen o funkci pro větší pohodlí. Kdokoliv, kdo má fyzický přístup k nešifrovanému médiu, už stejně má i nástroje na to, aby si přečetl data nebo na disk umístil nějaký malware. Je trochu těžké si představit, jak by funkce usnadňující legitimním vlastníkům přístup k datům mohla náhled popustit uzdu všelijakým útočníkům. Ti zlí si vždy najdou spoustu způsobů, jak se k datům na zařízení dostat jako root.

Není jasné, jak moc výměnných zařízení formátovaných na ext vlastně je, což se dá použít jako argument proti. Na druhou stranu usnadnění práce s nimi může být důvodem, proč lidé začnou souborové systémy ext na výměnných médiích používat. Patche duplikují kód mezi třemi oddělenými souborovými systémy, ale celkem jde jen o nějakých 100 řádek u každého z nich. Přesunutí části kódu do VFS by to mohlo trochu snížit, ale nešlo by o moc. Administrátoři, kterým funkce vadí, se jí mohou úplně vyhnout, i když si budou muset pohlídat udev pravidla své distribuce. Vzhledem k tomu, že to médiím formátovaným na ext dodává stejnou jednoduchost použití jako s VFAT, to vypadá jako funkce, která za to stojí.

Nástroje: Tisk bez diskuse