Как предотвратить модификацию файлов в Linux с помощью команды chattr
Оригинал: 5 'chattr' Commands to Make Important Files IMMUTABLE (Unchangeable) in Linux
Автор: Narad Shrestha
Дата публикации: 4 октября 2014 года
Перевод: А. Кривошей
Дата перевода: май 2015 г.
chattr (Change Attribute) - это утилита командной строки в linux, которая используется для установки/снятия специальных атрибутов файлов для предотвращения случайной модификации и удаления файлов или директорий, даже если вы авторизованы как root.
Нативные файловые системы в Linux, такие как ext2, ext3, ext4, btrfs, поддерживают все флаги для файлов. Никто не сможет удалить или модифицировать файл/директорию, защищенный атрибутами, установленными с помощью команды chattr, даже имея полный доступ ко всем операциям с файлом. Очень полезно защитить атрибутами такие файлы , как passwd и shadow, содержащие информацию о пользователе.
Синтаксис chattr:
# chattr [operator] [flags] [filename]
Атрибуты и флаги
Ниже приведен список часто используемых атрибутов и соответствующих флагов, которые согут быть установлены с помощью команды chattr.
1. Если обращаются к файлу с установленным атрибутом "А", его запись atime не обновляется.
2. Если модифицируется файл с установленным атрибутом "S", изменения синхронизируются с диском.
3. Если установлен атрибут "a", файл может быть открыт для записи только в режиме добавления текста.
4. Если установлен атрибут "i", файл нельзя модифицировать (immutable). Это значит нельзя переименовывать, создавать символьные ссылки, исполнять и записывать, снять этот втрибут может только суперпользователь.
5. Если установлен атрибут "j", то при модификации файла сначала будет обновлена информация о файле в журнале ext3, а затем уже сам файл.
6. Если установлен атрибут "t", файл нельзя объединять с другими файлами.
7. Файл с атрибутом "d" не будет являться кандидатом для резервного копирования при запуске процесса dump.
8. При удалении файла с атрибутом "u" его данные сохраняются, и пользователь сможет восстановить его.
Операторы
+ : добавляет атрибут к существующим у файла атрибутам.
- : удаляет атрибут файла.
= : оставляет существующие у файла атрибуты.
Теперь мы продемонстрируем вам несколько примеров применения команды chattr.
1. Как защитить файл от удаления
Для демонстрационных целей мы будем использовать директорию demo и файл important_file.conf. Сначала посмотрим, какие атрибуты у них установлены, с помощью команды ls -l. Как можно видеть ниже пока никаких атрибутов нет.
[root@tecmint tecmint]# ls -l
total 0
drwxr-xr-x. 2 root root 6 Aug 31 18:02 demo
-rwxrwxrwx. 1 root root 0 Aug 31 17:42 important_file.conf
Для установки атрибута мы используем оператор +, для снятия - оператор -. Давайте защитим файл от удаления кем бы то ни было, даже суперпользователем.
[root@tecmint tecmint]# chattr +i demo/
[root@tecmint tecmint]# chattr +i important_file.conf
Замечание: Бит +i может быть установлен только суперпользователем, либо пользователем с привилегиями sudo.
Давайте проверим установленные атрибуты с помощью команды 'lsattr'.
[root@tecmint tecmint]# lsattr
----i----------- ./demo
----i----------- ./important_file.conf
Теперь, попытавшись удалить, переименовать или изменить права доступа к файлу, вы увидите сообщение: "Operation not permitted".
[root@tecmint tecmint]# rm -rf demo/
rm: cannot remove demo/: Operation not permitted
[root@tecmint tecmint]# mv demo/ demo_alter
mv: cannot move demo/ to demo_alter: Operation not permitted
[root@tecmint tecmint]# chmod 755 important_file.conf
chmod: changing permissions of important_file.conf: Operation not permitted
2. Как снять атрибут с файла
В приведенном выше примере мы увидели, как установить атрибут для предотвращения непреднамеренного удаления файл, здесь же мы научимся удалять атрибут, чтобы снова поучить возможность удалять или редактировать файл.
[root@tecmint tecmint]# chattr -i demo/ important_file.conf
Теперь снова проверим наличие атрибутов с помощью команды 'lsattr'.
[root@tecmint tecmint]# lsattr
---------------- ./demo
---------------- ./important_file.conf
Флаг '-i' удален, поэтому мы спокойно можем удалить файлы и директории.
[root@tecmint tecmint]# rm -rf *
[root@tecmint tecmint]# ls -l
total 0
3. Как защитить файлы /etc/passwd и /etc/shadow
Предотвратив модификацию файлов /etc/passwd или /etc/shadow, мы защитим их от случайного удаления или подмены, а также отключим создание пользовательских аккаунтов.
[root@tecmint tecmint]# chattr +i /etc/passwd
[root@tecmint tecmint]# chattr +i /etc/shadow
Теперь попробуем создать создать нового пользователя, и получаем сообщение об ошибке 'cannot open /etc/passwd'.
[root@tecmint tecmint]# useradd tecmint
useradd: cannot open /etc/passwd
Таким образом вы можете защитить важные файлы от удаления.
4. Добавление данных в файл без изменения уже существующих
Если вы хотите разрешить только добавление данных файл, без редактирования уже существующих данных, это можно сделать с помощью установки атрибута 'a':
[root@tecmint tecmint]# chattr +a example.txt
[root@tecmint tecmint]# lsattr example.txt
-----a---------- example.txt
Теперь файл можно открыть на запись только в режиме добавления данных. Попробовав заменить существующее содержимое файла example.txt, вы увидите сообщение об ошибке 'Operation not permitted':
[root@tecmint tecmint]# echo "replace contain on file." > example.txt
-bash: example.txt: Operation not permitted
Попытаемся добавить в файл новый контент и проверить результат:
[root@tecmint tecmint]# echo "replace contain on file." >> example.txt
[root@tecmint tecmint]# cat example.txt
Here is the example to test 'a' attribute mean append only.
replace contain on file.
5. Как защищать директории
Для защиты всей директории вместе с содержащимися в ней файлами используется флаг '-R' (рекурсия) вместе с '+i'.
[root@tecmint tecmint]# chattr -R +i myfolder
После рекурсивной установки атрибута попробуем удалить директорию вместе со всеми файлами:
[root@tecmint tecmint]# rm -rf myfolder/
rm: cannot remove 'myfolder/': Operation not permitted
http://rus-linux.net/MyLDP/admin/chattr.html
| 
