Arquivos do sistema com permissões restritas

4

Normalmente, quando corremos

ls -l

podemos ver essa imagem -rwx ...- para que o proprietário tenha sempre a pilha completa de permissões. E normalmente o dono dos arquivos do sistema é a raiz. Existem arquivos de sistema nos quais a raiz não tem todas as permissões, por exemplo, só lê? Se eles existem, por que eles têm uma política de permissão tão rígida até mesmo para a raiz?

    
por Sergey 25.02.2012 / 09:29

2 respostas

4

Arquivos que não foram feitos para serem executados não possuem a permissão x, mesmo para o root, para que ele não execute algo acidentalmente. Arquivos que o root deve pensar duas vezes antes de sobrescrever falta a permissão w para root. O Root pode substituir isso sem alterar as permissões do arquivo, mas a maioria dos programas avisa antes de fazer isso. Acredito que a permissão de leitura não esteja marcada para root.

    
por 25.02.2012 / 18:11
2

Existem apenas 3 (que eu posso pensar prontamente) maneiras de negar acesso root a um arquivo (em sistemas de arquivos normais).

  1. O sistema de arquivos é montado em somente leitura.
  2. O arquivo é imutável ( chattr +i ). O Root é capaz de alterar os atributos e remover o sinalizador imutável, mas este é um processo manual, pois os aplicativos não fazem isso automaticamente. Isso é comumente usado para evitar a gravação acidental de arquivos.
  3. O arquivo é um executável em execução. O kernel impede a modificação de qualquer executável que esteja atualmente em execução. Você pode desvincular ( rm ) do arquivo, mas não pode modificar seu conteúdo.

Agora, há muitas outras maneiras de negar o acesso de gravação a um arquivo ao usar o root. Os sistemas de arquivos de rede, como o NFS e o CIFS, podem negar o acesso root se estiverem configurados para isso no servidor. Alguns outros sistemas de arquivos especiais, como o mvfs do IBM Rational ClearCase, também podem fazer isso.

No entanto, com tudo isso dito, não há arquivos padrão que o root não possa gravar. Uma distribuição pode definir arquivos com a bandeira imutável, mas não é padrão.

    
por 25.02.2012 / 10:08