Como evitar que o proprietário do arquivo altere / exclua seu próprio arquivo? Linux CentOS

Question

Como evitar que o proprietário do arquivo altere / exclua seu próprio arquivo? Linux CentOS

#1 resposta do (4 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)

1

Esta NÃO é a sua pergunta padrão "como funciona a permissão"!

Estou pensando que a resposta provavelmente envolverá a ACL, mas não sei exatamente como.

Eu mexi com permissões padrão, guid, sticky bit, etc. Não funciona.

O que eu quero: O usuário fará upload de arquivos. O usuário terá a capacidade de alterar as permissões nos arquivos para permitir a execução. Mas o usuário não poderá alterar o conteúdo do arquivo depois de criado. E o usuário não poderá excluir o arquivo.

Por favor me ajude! Eu tenho arrancado meu cabelo por horas!

EDITAR:

Obrigado pelas respostas, mas até agora elas não parecem abordar como esse trabalho funciona automaticamente para arquivos recém-criados.

Possível solução:

find -mtime -1 -exec chattr +i '{}' \+

2ª solução possível:

inotifywait -m -e create --format %f .

Agora eu só preciso descobrir isso para chattr.

permissions linux centos access-control-list

por Buttle Butkus 15.11.2012 / 07:05

4 respostas

Tags permissions linux centos access-control-list

Prática recomendada para substituir a unidade com falha em um domínio DOIS Controlador de Domínio Diretrizes de segurança do firewall

score 4 · Answer 1

Você pode tentar usar o 'chattr'

Exemplo:

[email protected]:~$ sudo chattr +i plik.txt 
[email protected]:~$ rm plik.txt 
rm: remove write-protected regular empty file 'plik.txt'? y
rm: cannot remove 'plik.txt': Operation not permitted
[email protected]:~$ chattr -i plik.txt 
chattr: Operation not permitted while setting flags on plik.txt

score 2 · Answer 2

Use atributos

sudo chattr +i /path/to/file

Remover sinalizador "imutável" com

sudo chattr -i /path/to/file

Isso impedirá que você altere a permissão no arquivo. Então, você precisará de alguma forma para (como root) adicionar permissão de execução ou o que for solicitado pelo usuário. Além disso, os atributos não são adicionados por padrão; você tem que colocar algo que faça isso.

Eu vou deixar essa parte como um exercício para o leitor.

score 1 · Answer 3

O SELinux pode ser uma maneira de resolvê-lo - associe o tipo único a todos os usuários que tiverem essa "capacidade reduzida". Definir política SELinux para permitir a criação de arquivos neste diretório para os tipos de usuário, mas não a modificação, etc Em teoria - deve funcionar. Veja Tutorial do SELinux do Gentoo , em particular sobre:

allow auditd_t <type>:file { <permission> };

então confira mais sobre as permissões disponíveis

score 1 · Answer 4

Use o inotify ou outro mecanismo de observação de sua escolha para localizar e localizar novos arquivos no diretório de upload e movê-los para um novo diretório, para o qual o usuário inicial não possui permissões.