Utilisations pratiques du drapeau immuable sous Linux [fermé]

8

Quelqu'un a-t-il des scénarios du monde réel où il a utilisé le drapeau immuable sous Linux?

chattr + i file.txt

Étant donné que root peut annuler l'attribut, il semble que vous protégiez le fichier contre les utilisateurs qui ont un accès root mais ne connaissent pas la fonctionnalité.

linux  filesystems  attributes 
kernelpanic
source

Réponses:

9

J'ai vu cela utilisé dans des configurations d'hébergement virtuel où les fichiers doivent rester dans des répertoires auxquels les utilisateurs ont accès, par exemple php5.fcgi. Je l'utilise également occasionnellement pour ajouter une étape supplémentaire à la suppression de fichiers importants, pour les protéger de ma propre distraction.

xofer
source
11

J'utilise ceci sur n'importe quel répertoire qui est uniquement destiné à être un point de montage. Il empêche les fichiers d'être écrits par erreur si le système de fichiers n'est pas monté.

3dinfluence
source
3
Agréable. Je n'avais jamais vu cette utilisation auparavant.
ewwhite
Oui, c'est lisse
xofer
4

C'est assez pratique pour pirater les systèmes de quelqu'un d'autre et empêcher la suppression de vos fichiers binaires trojan !!

ewwhite
source
En corollaire, il est très souvent utilisé pour empêcher quelqu'un d'installer des fichiers binaires trojaned en premier lieu - par exemple sur FreeBSD la plupart des programmes clés sont installés immuables sur le système (et si vous exécutez avec un niveau de sécurité> = 1, vous ne pouvez pas désactiver le drapeau sans redémarrer en mode mono-utilisateur)
voretaq7
Cette chose BSD semble intéressante ... C'est presque comme Linux, mais avec des trucs plus utiles!
ewwhite
Comme un véritable système d'exploitation prêt pour la production! :-) La page de manuel de chflags contient des détails sur les drapeaux de base (plus de goodies peuvent être faits avec les ACL, comme sous Linux), et il y a une page entière sur la sécurité qui décrit la securelevelfonctionnalité.
voretaq7
0

Habituellement pour se protéger contre la suppression automatique du fichier, par exemple. grâce au nettoyage des répertoires temporaires, etc., bien sûr, vous devez espérer que tout ce qui pourrait supprimer ce fichier se comporte bien en cas d'échec :)

Tom Newton
source
Le drapeau immuable ne serait pas mon choix ici, sauf si vous voulez également vous protéger contre les modifications - rappelez-vous qu'un fichier qui a été chattr +i'd est immuable - vous ne pouvez pas écrire, supprimer, tronquer, ajouter ...
voretaq7
-2

Pour garder les développeurs embêtants et le piratage des administrateurs système hors de votre ish.

dmourati
source
Envie d'élaborer? Cette réponse n'est vraiment pas très utile dans l'état actuel.
Zoredache
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.