点击上方蓝色“Linux News搬运工”关注我们~

On-disk format robustness requirements for new filesystems

By Jonathan Corbet

译者按：在LWN这篇文章发表后的讨论中，疑似Gao Xiang（用户名hsiangkao，LWN付费订阅用户，不知道是自费的还是华为pay的，赞）也回应了大家的问题，展示了EROFS作者一方的积极态度，非常尽责。欢迎大家到lwn.net围观。

"Extendable Read-Only File System" (即EROFS)是由Gao Xiang于2018年五月第一次发布出来的，后来合入了Linux 4.19的staging tree。此后EROFS一直不断进行完善，作者现在认为是时候从staging tree里拿出来作为kernel的正式支持的众多文件系统的一员了。不过看起来还有最后一个障碍：有内容损坏的磁盘文件系统镜像是否还依旧稳定可用。这也引出了一个有意思的问题：新的文件系统具体需要达到什么程度的稳定性水平？需要比目前正大范围使用的文件系统要容错性更加强吗？

正如它的名字所说，EROFS是一个只读文件系统，由华为开发，目的是用在Android系统上。EROFS跟目前在用的各种只读文件系统的一个主要差异是在性能方面，因为它使用了一个特别的压缩算法来创建固定长度的存储block，据作者说这样就能把对压缩过的数据的随机访问尽量优化，目标是做尽量少的I/O和解压缩动作。详情可以查看7月份发布的USENIX论文。

Gao最近提过几次希望能把EROFS移出staging状态，最近一次是8月17日发出的邮件：

过去一年里，EROFS作为一个staging状态的驱动，得到众多开发者的帮助，有了很大改善，也经过很多自测试，还有经过了华为内部用户的大量日常使用验证，已经成功的作为EMUI 9.1的一部分发布到所有市面上的华为智能手机中了，目前已经能证明足够稳定，应该结束staging状态了。

总体来说，mailing list上没有多少反对意见。在审查代码的时候，Richard Weinberger注意到一点，就是代码里对磁盘上读出来的数据都是完全信任拿来就用的，一般不检查这个数据是否合理。然后他很快就创造出一个特殊的磁盘内容把kernel引入死循环状态了，这倒是一个彻底的read-only了（作者意指系统读完就死）。这个问题很快被修复了，但是在此之前已经出现了一个争论，就是假如文件系统映像文件被恶意破坏之后，那么kernel起来之后文件系统是否需要保证稳定可靠，尤其是对EROFS这种希望能加入Linux的新文件系统。

大家都赞同希望文件系统能在哪怕面对一个恶意（或者只是有点损坏数据）文件系统映像的时候，仍能保证正常工作。只有达到这个目标，才有可能允许非特权用户（unprivileged user）来mount文件系统而不担心会导致整个系统被破坏。不过Ted Ts'o也指出，目前kernel里面已经在大量使用的文件系统，例如ext4或者XFS，也都没有达到这个目标，因此，如果我们对一个新文件系统提出这么高的要求，那么似乎是针对它们额外提高了门槛：

如果我们对EROFS这样的文件系统提出了更高的标准，甚至是ext4, xfs, btrfs都没法达到的标准，这样不太公平。咱们似乎有点倾向于对新文件系统提出更高的标准，甚至有些是很难达到的。而在我看来，给Linux加一个新的文件系统不应该是一个什么大事。

针对EROFS来说，正如Chao Yu指出，它所针对的应用场景其实不太在乎这种可靠性。Android系统映像文件如果用EROFS文件系统来发布的话，通常都会经过例如dm-verify这一类的验证流程，因此文件系统代码本身其实处理的都是签名并验证过的文件系统数据。尽管如此，EROFS开发者也赞同这类bug也应该得到积极分析和修复。

看起来针对恶意文件系统映像的可靠性处理，在各个文件系统的开发者看来观点也各不相同。对于ext4里面存在的类似bug，Ts'o回答说“虽然我会去解决这类问题，不过不是高优先级的工作。”他认为XFS开发者的看法也会类似。Christoph Hellwig很不赞同，他说XFS开发者会很重视修复损坏文件系统镜像场景下的问题，“虽然我们确实没法保证没bug”。Eric Biggers也认为这些可靠性问题是必须要处理的，“不过我理解我们之前这方面做的不够好，所以我们不应该用这样一个不公平的高标准来阻止一个新文件系统的合入”。

Hellwig的观点更加强烈，他觉得这个标准非常应该用在新文件系统上：

“我们没法强制什么人来修复旧文件系统的bug，不过我们能够用更高（一点点）的标准来阻止新的文件系统的合入。这是让文件系统部分的平均质量提升的唯一办法。就像代码风格格式一样，我们没法一下子修复所有旧的代码，但是我们通常都会确保新合入的代码是按照更高标准的。”

不过他没说清具体这些更高标准具体包含哪些，是不是应该要包含"在用了损坏的文件系统映像的情况下也要绝对可靠"。不过开发者看起来希望在这方面要有些作为了。就像Bigger说的：“如果开发者做得很仔细的话，通常来说代码都是很可靠的，并且他们也愿意修复这些报出来的问题，这已经就是咱们所能期望的最好结果了。”

EROFS能否满足了这个“看起来稳定”的标准？现在大家还没有达成一致。从另一个角度来说，大家也都相信EROFS开发者愿意尽快修复他们报出的bug。所以对于把EROFS从staging转为正式kernel支持的文件系统这件事来说，估计很快就能达成了。除非还有一些严重问题被报出来，否则如果只是当前这点小麻烦的话，应该很快能解决的。今后文件系统开发者都需要注意，reviewer会更加留意这类问题（针对磁盘上数据如果损坏情况下文件系统代码也要可靠）。

全文完

LWN文章遵循CC BY-SA 4.0许可协议。

极度欢迎将文章分享到朋友圈

长按下面二维码关注：Linux News搬运工，希望每周的深度文章以及开源社区的各种新近言论，能够让大家满意～