Como o usuário root pode criar o arquivo / diretório unwritable para si mesmo?

Question

#1 resposta do (13 votos)
#2 resposta do (5 votos)

8

Usuários normais podem usar chmod arquivos para torná-los inacessíveis, como

evgeniy@ubuntu:~$ touch test
evgeniy@ubuntu:~$ chmod 444 test
evgeniy@ubuntu:~$ echo 'test' > test
bash: test: Permission denied

Pode algo assim ser simulado para o usuário root?

permissions linux filesystems

por dolzenko 28.10.2010 / 10:09

2 respostas

5

O SELinux pode ser usado para marcar um arquivo como não gravável pela raiz no domínio atual e na função do usuário.

por 28.10.2010 / 10:19

score 13 · Accepted Answer

chattr +i * impedirá que até mesmo a conta raiz faça alterações nos arquivos do diretório (até que chattr -i * seja executado).

Por comentários de Slartibartfast, algumas coisas que você deve saber sobre chattr e o atributo imutável:

O bit imutável impedirá que um arquivo seja excluído, renomeado, vinculado ou gravado; use lsattr para exibir os atributos da mesma maneira ls exibe propriedade e permissões
Você pode evitar que o bit imutável seja desconfigurado (até mesmo pelo root) alterando a CAP_LINUX_IMMUTABLE flag - para isso, você deverá instalar o libcap , mas é justo avisar que os recursos estão mal documentados (na melhor das hipóteses)