chattr: Tiedostojen / kansioiden maksimaalinen suojaus Linuxissa määritteillä tai lipuilla

No ... kaikki ei voi olla peliä, ei ole aikomustani julkaista vain viestejä, joissa puhutaan peleistä 😉 ... En ole käyttäjä, joka pelaa paljon, kotona jätän sen tyttöystäväni tehtäväksi (joka on nyt koukussa Sims 4), siksi se motivoi minua enemmän julkaisemaan enemmän teknisiä artikkeleita, komentoja tai vinkkejä terminaalissa.

Linuxissa meillä on joitain käyttöoikeudet jotka varmasti ratkaisevat melkein kaikki ongelmat, voimme määrittää, kenellä käyttäjällä tai käyttäjäryhmällä on pääsy tiettyyn resurssiin, kansioon, palveluun. On kuitenkin aikoja, jolloin käyttöoikeudet eivät ole juuri sitä, mitä tarvitsemme, koska on tilanteita, joissa haluamme, että edes root ei pysty tekemään tiettyä toimintoa.

Oletetaan, että meillä on kansio tai tiedosto, jota emme halua poistaa, mene sitten ... ei käyttäjä, emmekä toinen tietokoneellamme (ehm ... tyttöystäväni esimerkiksi haha), tai edes root ei voi poistaa sitä, miten tämä saavutetaan? ... oikeudet eivät auta meitä, koska root on the-fucking-master, hän voi poistaa mitä tahansa, joten tiedosto- tai kansio-attribuutit tulevat sinne.

chattr + i

Oletetaan, että haluamme suojata tiedoston, jotta sitä ei voida poistaa, se on: salasanat.txt , sijaintisi on (esimerkiksi) $ HOME / passwords.txt

Vain luku -attribuutin (toisin sanoen ilman muutoksia tai poistamista) määrittäminen olisi:

sudo chattr +i $HOME/passwords.txt

Kuten näette, tarvitsemme järjestelmänvalvojan oikeudet + i -parametrille, mikä muuten tarkoittaa, että tiedosto on muuttumaton. Tiedätkö, sitä ei voida poistaa, eikä se voi muuttua missään mielessä.

Sitten voit yrittää poistaa tiedoston, jopa sudolla ... näet, ettet voi, tässä on kuvakaappaus:

chattr_1

Luetteloon tai nähdäksesi tiedoston määritteet voimme käyttää komentoa ssattr, esimerkiksi:

lsattr passwords.txt

Poista sitten suojaus käytön sijaan +i käytämme -i ja voila 😉

chattr + a

Kuten olemme juuri nähneet, + i-parametri antaa meille mahdollisuuden suojata se kokonaan, mutta on joskus tarvinnut tiettyä tiedostoa voidakseni muokata, MUTTA muuttamatta sen alkuperäistä sisältöä. Minulla on esimerkiksi luettelo ja haluan lisätä uusia rivejä ja tietoja kaikun avulla, mutta muuttamatta edellisiä, tähän:

sudo chattr +a $HOME/passwords.txt

Kun tämä on tehty, yritetään kirjoittaa tiedostoon jotain uutta:

echo "Prueba" > $HOME/passwords.txt

Huomaat, että saat virheen ... kuitenkin, jos lisäämme sisältöä sen sijaan, että korvaisimme (käyttämällä >> eikä>):

echo "Prueba" >> $HOME/passwords.txt

Tässä voimme.

Loppu!

Tiedän, että joku, joka on perehtynyt, kun hän näkee, että jopa root-tiedostojen avulla voi poistaa / muokata tiedostoa, voi tarkistaa sen ominaisuudet ... mutta hei! … Kuinka monta kertaa huomaat jotain tällaista, lopetat miettiä ominaisuuksia? ... Sanon tämän, koska yleensä ajattelemme yksinkertaisesti, että kiintolevy tai sen sektori on korruptoitunut tai että järjestelmä yksinkertaisesti meni hulluksi 😀

No ei ole paljon muuta lisättävää ... Luulen, että käytän tätä +i Pysäytä tyttöystäväni lataaman sisällön lataaminen ... ¬_¬ ... ehm ... eikö hän halunnut lataa sims 4 vapaa? ... Luulen, että opetan sinulle yhden tai kaksi asiaa lisensseistä ja siitä, ettei niitä pitäisi rikkoa 😀

Tervehdys!


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

      lakkaa dijo

    Mielenkiintoista tietää tästä työkalusta, entä jos se aiheuttaa minulle uteliaisuutta, tavallaan se ei olisi jotain samanlaista kuin bittioikeudet? Eli setuid, setgid ja tahmea bitti? Jos ei, miksi? Oo

    PS: Menetin lukumäärä kertoja sanoit tyttöystäväni tässä artikkelissa hahaha

         Hugo dijo

      Tämä on myös vähän, muuttumattomuusbitti, ja se on suunniteltu siten, että kukaan ei voi muokata tai poistaa tiedostoa, jota se koskee (ei edes juuria). Käytän sitä esimerkiksi kirjoitussuojaukseen kokoonpanotiedostoihin, mikä on erityisen hyödyllistä Zentyalin kaltaisissa jakelussa (se on paljon nopeampi tapa mukauttaa kokoonpanoa kuin muokkaamalla tai luomalla malleja).

      Yhdistämällä tämä komento chown-, chmod- ja setfacl-tiedostoihin voidaan saada aikaan mielenkiintoisia asioita.

      FreeBSD: llä on jotain vastaavaa, jota käytän myös pfSenseen.

         Johannes dijo

      Hahaha, se on tunnettu vaihe.
      http://www.xkcd.
      fi / 684 /

      niandekuera dijo

    [DR. Bolivar Trask] $ sudo chattr + i * .human

      Tesla dijo

    Erittäin hyvä järjestys. En tuntenut häntä.

    Se voi olla erittäin hyödyllistä, jos jaamme tietokoneen tai jos meillä on tietty asiakirja, jota käsittelemme ja jota emme halua poistaa maailmanlaajuisesti.

    Kiitos ja terveisin!

      Luis dijo

    Erittäin mielenkiintoinen.

    Voisiko tehdä jotain vastaavaa, jotta ROOT ei pääse tiettyyn kansioon kotisivullamme?

         Tesla dijo

      Artikkelin mukaan tällä komennolla edes root ei pääse tiedostoon. Luulen, että sama koskee kansioita, koska Linuxissa kansiot ovat myös tiedostoja, eikö?

      Joaquin dijo

    Mikä sattuma. Tänä viikonloppuna yritin poistaa juuriosion, enkä voinut poistaa tiedostoa / boot-hakemistosta. Tarkastellessani löysin määritteet, en rehellisesti tiennyt niitä, ja nyt ymmärrän, että tiedoston käyttöoikeuksien ja määritteiden kysymys on hyvin suuri. Tämä on yksi tärkeimmistä käskyistä, jotka meidän on tiedettävä yhdessä "chmod" ja "chown" kanssa.

      aguatemala dijo

    Tämä on erittäin hyödyllistä, varsinkin jos haluamme esimerkiksi vaihtaa vastaavan Internet-palveluntarjoajan oletus-DNS: n, ja silloin meidän on muokattava /etc/resolv.conf -tiedostoa ja jotta voimme tehdä tämän, meidän on chattr -i / etc / resolv.conf, muokkaa IP-osoitteita, jotka näkyvät vapaan ja / tai ilmaisen DNS: n (kuten OpenDNS 208.67.222.222 ja 208.67.220.220 tai Google 8.8.8.8 ja 8.8.4.4) IP-osoitteille ja muokattu tiedosto tee chattr + i /etc/resolv.conf uudelleen niin, että tiedostoa ei muuteta koneen käynnistyessä.
    Upea artikkeli ... ja muuten tyttöystäväsi on kuin vaimoni, aivan kuten peliriippuvainen, hahahahaha

      raaka Perus dijo

    On selvää, että "vitun päällikkö" on tyttöystäväsi tässä tilanteessa. xD