Usos prácticos de la bandera inmutable en Linux [cerrado]

8

¿Alguien tiene escenarios del mundo real donde hayan usado la bandera inmutable en Linux?

chattr + i archivo.txt

Dado que root puede deshabilitar el atributo, parece que está protegiendo el archivo contra usuarios que tienen acceso de root pero que no conocen la función.

linux filesystems attributes panico kernel
fuente

Respuestas:

9

He visto esto utilizado en configuraciones de alojamiento virtual donde los archivos deben permanecer en directorios a los que los usuarios tienen acceso, por ejemplo, php5.fcgi. También ocasionalmente lo uso para agregar un paso adicional para eliminar archivos importantes, para protegerlos de mi propia distracción.

xofer
fuente
11

Lo uso en cualquier directorio que solo esté destinado a ser un punto de montaje. Evita que los archivos se escriban por error si el sistema de archivos no está montado.

3dinfluence
fuente
3
Agradable. Nunca he visto ese uso antes.
ewwhite
Sí, eso es
astuto
4

¡Es bastante útil para hackear los sistemas de otra persona y evitar que se eliminen sus binarios troyanos !

ewwhite
fuente
Como corolario, a menudo se usa para evitar que alguien instale binarios troyanos en primer lugar , por ejemplo, en FreeBSD, la mayoría de los programas clave se instalan inmutables al sistema (y si se ejecuta con un nivel seguro> = 1 no puede desactivar la bandera sin reiniciar en modo de usuario único)
voretaq7
Esta cosa de BSD suena interesante ... ¡Es casi como Linux, pero con cosas más útiles!
ewwhite
¡Como un sistema operativo listo para la producción incluso! :-) La página de manual de chflags tiene detalles sobre los indicadores básicos (se pueden hacer más cosas buenas con ACL, como en Linux), y hay una página completa sobre seguridad que describe la securelevelfuncionalidad.
voretaq7
0

Por lo general, para proteger contra la eliminación automática del archivo, por ejemplo. a través de la limpieza de directorios temporales, etc. aunque, por supuesto, tiene que esperar que cualquier cosa que elimine ese archivo se comporte bien en caso de falla :)

Tom Newton
fuente
La bandera inmutable no sería mi elección aquí a menos que también desee protegerse contra los cambios: recuerde que un archivo que ha sido chattr +i'd es inmutable : no puede escribir, eliminar, truncar, agregar ...
voretaq7
-2

Para mantener a los desarrolladores molestos y hackear administradores de sistemas fuera de su ish.

dmourati
fuente
¿Cuidado para elaborar? Esta respuesta realmente no es tan útil en el estado actual.
Zoredache