Usos práticos da bandeira imutável no Linux [fechado]

8

Alguém tem cenários do mundo real onde eles usaram a bandeira imutável no Linux?

chattr + i file.txt

Como o root pode desarmar o atributo, parece que você está protegendo o arquivo contra usuários que têm acesso ao root, mas não conhecem o recurso.

linux filesystems attributes kernelpanic
fonte

Respostas:

9

Eu já vi isso usado nas configurações de hospedagem virtual, onde os arquivos precisam permanecer nos diretórios aos quais os usuários têm acesso, por exemplo, php5.fcgi. Ocasionalmente, também o uso para adicionar uma etapa extra à exclusão de arquivos importantes, para protegê-los de minha própria distraição.

xofer
fonte
11

Eu uso isso em qualquer diretório que se destina apenas a ser um ponto de montagem. Impede que os arquivos sejam gravados por engano se o sistema de arquivos não estiver montado.

3dinfluence
fonte
3
Agradável. Eu nunca vi esse uso antes.
ewwhite
Sim, isso é liso
xofer 25/10/12
4

É bastante útil para invadir os sistemas de outras pessoas e impedir que seus binários trojanados sejam excluídos !

ewwhite
fonte
Como corolário, é frequentemente usado para impedir que alguém instale binários de tróia em primeiro lugar - por exemplo, no FreeBSD, a maioria dos programas-chave é imutável pelo sistema (e se você executa com um nível de segurança> = 1, não é possível desativar a bandeira). sem reiniciar em um único usuário mode)
voretaq7
Essa coisa do BSD parece interessante ... É quase como o Linux, mas com coisas mais úteis!
ewwhite
Como um sistema operacional pronto para produção, mesmo! :-) A página de manual chflags tem detalhes sobre os sinalizadores básicos (mais guloseimas podem ser feitas com ACLs, como no Linux), e há uma página inteira sobre segurança que descreve a securelevelfuncionalidade.
voretaq7
0

Geralmente para proteger contra a exclusão automática do arquivo, por exemplo. através da limpeza de diretórios temporários etc.

Tom Newton
fonte
A bandeira imutável não seria a minha escolha aqui a menos que você também quer proteger contra mudanças - lembre-se um arquivo que tem sido chattr +i'd é imutável - você não pode escrever, apagar, truncada, de acréscimo ...
voretaq7
-2

Para manter os desenvolvedores irritantes e administradores de sistemas de hackers longe do seu ish.

dmourati
fonte
Cuidado ao elaborar? Essa resposta realmente não é tão útil no estado atual.
Zoredache