Existe alguma atenuação contra a falsificação de data / hora do toque?

3

Eu tenho usado touch -t para alterar o tempo de um arquivo quando comecei a usar o Linux. Existe alguma atenuação contra touch data / hora?

Como, ecoando a data e hora de criação original, mesmo depois de usar o toque.

    
por Ruban Savvy 05.12.2013 / 06:39

2 respostas

2

Veja esta resposta do stackoverflow:

Você pode buscar o tempo de criação usando debugfs , mas precisará de permissões de root para isso. Eu também acho que nem todos os sistemas de arquivos armazenam isso na estrutura do nó. Tudo o que é garantido é o tempo de alteração do inode (ctime), o tempo de modificação do arquivo (mtime) e o horário do último acesso (atime, e isso não é garantido se o sistema de arquivos estiver montado com noatime ). / p>     

por 05.12.2013 / 07:15
1

O tempo de modificação de um arquivo pode ser escolhido livremente pelo proprietário do arquivo. Você pode verificar o tempo de mudança do inode do arquivo (ctime): aquele só pode ser definido para a hora atual, e qualquer modificação dos metadados do arquivo, como alterar o mtime, redefine o ctime para a hora atual.

Se você quiser verificar se um arquivo não foi alterado desde uma determinada data, você pode verificar seu tempo. Mas o ctime poderia ser mais recente por razões não nefastas, como uma mudança de atributos, um arquivo movido ou copiado, uma restauração do backup,…

É claro que o usuário root pode ignorar isso alterando a hora do sistema ou manipulando o arquivo diretamente.

A maneira confiável de testar o estado de um arquivo em um determinado momento no passado é consultar um instantâneo ou backup feito nesse momento.

    
por 06.12.2013 / 02:31