]> git.ipfire.org Git - thirdparty/xz.git/commit
projects / thirdparty / xz.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 2e28c71) | patch
xz: Use fsync() before deleting the input file, and add --no-sync
authorLasse Collin <lasse.collin@tukaani.org>
Sun, 5 Jan 2025 18:14:49 +0000 (20:14 +0200)
committerLasse Collin <lasse.collin@tukaani.org>
Sun, 5 Jan 2025 18:16:08 +0000 (20:16 +0200)
commit2a9e91d796d091740489d951fa7780525e4275f1
tree503bcb70c1c2afab5d690294b185f1d5688ac6c0tree
parent2e28c7145747b3287283f13c9d2becd73a7c4a1fcommit | diff
xz: Use fsync() before deleting the input file, and add --no-sync

xz's default behavior is to delete the input file after successful
compression or decompression (unless writing to standard output).
If the system crashes soon after the deletion, it is possible that
the newly written file has not yet hit the disk while the previous
delete operation might have. In that case neither the original file
nor the written file is available.

Call fsync() on the file. On POSIX systems, sync also the directory
where the file was created.

Add a new option --no-sync which disables fsync() usage. It can avoid
a (possibly significant) performance penalty when processing many
small files. It's fine to use --no-sync when one knows that the files
are easy to recreate or restore after a system crash.

Using fsync() after every flush initiated by --flush-timeout was
considered. It wasn't implemented at least for now.

  - --flush-timeout is typically used when writing to stdout. If stdout
    is a file, xz cannot (portably) sync the directory of the file.
    One would need to create the output file first, sync the directory,
    and then run xz with fsync() enabled.

  - If xz --flush-timeout output goes to a file, it's possible to use
    a separate script to sync the file, for example, once per minute
    while telling xz to flush more frequently.

  - Not supporting syncing with --flush-timeout was simpler.

Portability notes:

  - On systems that lack O_SEARCH (like Linux), "xz dir/file" will now
    fail if "dir" cannot be opened for reading. If "dir" still has
    write and search permissions (like d-wx------ in "ls -l"),
    previously xz would have been able to compress "dir/file" still.
    Now it only works if using --no-sync (or --keep or --stdout).

  - <libgen.h> and dirname() should be available on all POSIX systems,
    and aren't needed on non-POSIX systems.

  - fsync() is available on all POSIX systems. The directory syncing
    could be changed to fdatasync() although at least on ext4 it
    doesn't seem to make a performance difference in xz's usage.
    fdatasync() would need a build system check to support (old)
    special cases, for example, MINIX 3.3.0 doesn't have fdatasync()
    and Solaris 10 needs -lrt.

  - On native Windows, _commit() is used to replace fsync(). Directory
    syncing isn't done and shouldn't be needed. (In Cygwin, fsync() on
    directories is a no-op.)

  - DJGPP has fsync() for files. ;-)

Using fsync() was considered somewhere around 2009 and again in 2016 but
those times the idea was rejected. For comparison, GNU gzip 1.7 (2016)
added the option --synchronous which enables fsync().

Co-authored-by: Sebastian Andrzej Siewior <sebastian@breakpoint.cc>
Fixes: https://bugs.debian.org/814089
Link: https://www.mail-archive.com/xz-devel@tukaani.org/msg00282.html
Closes: https://github.com/tukaani-project/xz/pull/151
src/xz/args.c diff | blob | blame | history
src/xz/args.h diff | blob | blame | history
src/xz/file_io.c diff | blob | blame | history
src/xz/file_io.h diff | blob | blame | history
src/xz/message.c diff | blob | blame | history
src/xz/sandbox.c diff | blob | blame | history
src/xz/xz.1 diff | blob | blame | history
Mirror of https://github.com/tukaani-project/xz.git