Eu tenho usado touch -t para alterar o tempo de um arquivo quando comecei a usar o Linux. Existe alguma atenuação contra touch data / hora?
Como, ecoando a data e hora de criação original, mesmo depois de usar o toque.
Veja esta resposta do stackoverflow:
Você pode buscar o tempo de criação usando debugfs , mas precisará de permissões de root para isso. Eu também acho que nem todos os sistemas de arquivos armazenam isso na estrutura do nó. Tudo o que é garantido é o tempo de alteração do inode (ctime), o tempo de modificação do arquivo (mtime) e o horário do último acesso (atime, e isso não é garantido se o sistema de arquivos estiver montado com noatime ). / p>
O tempo de modificação de um arquivo pode ser escolhido livremente pelo proprietário do arquivo. Você pode verificar o tempo de mudança do inode do arquivo (ctime): aquele só pode ser definido para a hora atual, e qualquer modificação dos metadados do arquivo, como alterar o mtime, redefine o ctime para a hora atual.
Se você quiser verificar se um arquivo não foi alterado desde uma determinada data, você pode verificar seu tempo. Mas o ctime poderia ser mais recente por razões não nefastas, como uma mudança de atributos, um arquivo movido ou copiado, uma restauração do backup,…
É claro que o usuário root pode ignorar isso alterando a hora do sistema ou manipulando o arquivo diretamente.
A maneira confiável de testar o estado de um arquivo em um determinado momento no passado é consultar um instantâneo ou backup feito nesse momento.
Tags security files linux timestamps