Zusätzlich zu der aus dem Dateisystemkonzept von Unix übernommenen Methode, die Datensicherheit durch Reglementierung der Zugriffsrechte zu erhöhen, bietet das ext2fs mit seinen Dateiattributen weitere Mechanismen an, die den Datenschutz in verschiedenen Richtungen verbessern.
Alle Dateiattribute können mit dem chattr-Kommando verändert werden. Das Kommando lsattr zeigt die aktuellen Attribute ähnlich wie das ls-Programm die Zugriffsrechte.
Beim traditionellen System der Zugriffsregelung wird das Schreiben ganz allgemein entweder erlaubt oder verboten. Die Erlaubnis erstreckt sich uneingeschränkt auf das Schreiben an jeder beliebigen Stelle der Datei. Damit bedeutet Schreiben in diesem Sinne sowohl Schreiben als auch Überschreiben.
Das Betriebssystem kann, dem POSIX-Standard entsprechend, zwischen wahlfreiem Schreiben und dem ausschließlichen Schreiben am Ende einer Datei, also dem Anhängen von Daten, unterscheiden.
Das ext2-Dateisystem unterstreicht diese Unterscheidung und führt damit ein zusätzliches Sicherheitsmerkmal ein. Durch das append-Attribut a wird jeder Schreibzugriff automatisch am Ende der Datei ausgeführt; es gibt dann keine Möglichkeit, die Schreibposition an eine andere Stelle zu setzen.
Zusätzlich kann eine durch dieses Attribut gesicherte Datei nicht gelöscht, gelinkt, umbenannt oder verschoben werden. Dieser Schutz läßt sich auch durch Rootprivilegien nicht umgehen.
Das append-Attribut kann jeder Benutzer für seine eigenen Dateien ändern. Mit Rootprivilegien ist auch das Ändern fremder Dateiattribute möglich.
Allein die Superuserin kann eine Datei im ext2-Dateisystem völlig einfrieren. Das immutable-Attribut verbietet jeden Schreibzugriff auf eine Datei. Zusätzlich sind wie beim append-Attribut Löschen, Linken, Umbenennen und Verschieben der Datei unmöglich.
Der normale Eigentümer einer Datei kann das immutable-Attribut nicht verändern. Damit kann ihm durch dieses Attribut jede Veränderung wirksam verboten werden. Diese Restriktion macht für natürliche Systembenutzer keinen Sinn. Für news, mail und ähnliche Systemaccounts, die sich dadurch auszeichnen, daß viele Programme zur Laufzeit mit den Rechten dieser Ëigentümerärbeiten, bietet immutable wirksam zusätzliche Sicherheit vor Mißbrauch.
Das immutable-Attribut selbst kann mit Rootprivilegien wieder gelöscht werden. Einen absoluten Schutz vor unberechtigter Veränderung einer Datei bietet also auch dieses Attribut nicht.
Beim Löschen einer Datei wird in den Linux-Dateisystemen normalerweise der Verzeichniseintrag gelöscht und die Inode sowie die Datenblöcke freigegeben, wenn der Verzeichniseintrag der letzte für diese Datei war.
Die freigegebenen Datenblöcke werden bei irgendeiner Gelegenheit durch einen anderen Prozeß wieder belegt. Es ist kein Geheimnis, daß der Inhalt solcher Datenblöcke von dem Prozeß, dem sie zugeteilt worden sind, auch gelesen werden kann. Wenn ein Prozeß den Datenblock liest, bevor er eigene Daten hineingeschrieben hat, kann er fremde Daten darin finden.
Um diese unbeabsichtigte Weitergabe von Daten zu verhindern, bietet das ext2-Dateisystem die Möglichkeit, alle von einer Datei belegten Datenblöcke durch zufällige Zeichen zu überschreiben, bevor sie beim Löschen für andere Prozesse freigegeben werden. Das secure-Attribut schickt die Dateien beim Löschen also durch einen elektronischen Reißwolf.
Sie sollten allerdings bedenken, daß häufig bei der Bearbeitung von Dateien durch andere Programme Kopien angelegt werden, die nicht automatisch mit dem secure-Attribut ausgestattet sind.
Indem Linux einen Großteil des freien Arbeitsspeichers als Puffer für die relativ langsamen Festplattenzugriffe nutzt, wird die Geschwindigkeit des System spürbar erhöht.
Diese erhebliche Leistungssteigerung geht zu Lasten der Datensicherheit. Wenn das System nämlich aus irgendeinem Grund abstürzen sollte, sind die im Puffer veränderten, aber noch nicht auf die Festplatte zurückgeschriebenen Daten verloren.
Besonders unangenehm wird es, wenn es sich bei den verlorenen Daten um Strukturinformation handelt. In diesem Fall kann auch die bereits sicher auf der Festplatte befindliche Information unzugänglich werden.
Der Verzicht auf die Datenpufferung kommt nicht ernsthaft in Betracht. Ein Betriebssystem, das mehrere Benutzer und viele Prozesse gleichzeitig bedienen soll, braucht ein sehr schnelles Dateisystem.
Um wenigstens die Sicherheit der bereits auf Festplatte gespeicherten Daten zu optimieren, bietet das ext2-Dateisystem die Möglichkeit, mit dem synchron-Attribut die ungepufferte Verwaltung der Metadaten einer Datei zu erreichen. Verzeichnis und Inode werden unmittelbar nach ihrer Veränderung auf die Festplatte geschrieben.
