Forum Astuces.divers [Terminal] protection des fichiers et ext2

Posté par .
Tags : aucun
0
5
mar.
2002
Avec des partitions ext2 il est possible de protéger les fichiers contre l'effacement accidentel grâce à chattr.
* chattr +i permet en particulier de rendre un fichier invulnérable contre l'effacement ou la modification (attention, il faut être en root).
* chattr +s permet d'effacer totalement un fichier du disque pour éviter qu'on le récupère (sécurité)
* Pour voir les attributs d'un fichier il suffit de faire lsattr.
* Enfin man chattr devrait donner toutes les options sur la comande chattr.
  • # Re: protection des fichiers et ext2

    Posté par . Évalué à 1.

    Bof.

    C'est bien pour ceux qui bossent sous le compte root. Ils feraient mieux de bosser sous un autre compte.
    • [^] # Re: protection des fichiers et ext2

      Posté par (page perso) . Évalué à 1.

      Quoi que sur une machine administrée par plusieurs personnes, ça peut etre utile.
      • [^] # Re: protection des fichiers et ext2

        Posté par . Évalué à 2.

        Il y a aussi le problème des sauvegardes. Si tu passes des heures a "bidouiller" avec chattr et que le backup ne peut restaurer tous tes "chattr", c'est pas terrible. Enfin, ce n'est que pour ext(2 et 3). Ce n'est pas portable vers ReiserFR, XFS, NFS, etc...
        Mais c'est une commande qu'il faut connaitre. Entre autre suite à un plantage disque il y a parfois des attributs un peu étrange qu'il faut virer (j'en ai fait l'expérience une foie et j'ai ramé avant de trouver chattr).
        • [^] # Re: protection des fichiers et ext2

          Posté par . Évalué à 1.

          Oui c'est toujours bon à connaitre en tout cas.
          J'avais découvert ces commandes (avec étonnement d'ailleurs) après avoir été confronté à un rootkit installé sur une machine... En effet ceux-ci ont l'habitude d'user de ces attributs spéciaux pour protéger les fichiers qu'ils ont modifiés.
          J'ai me suis d'abord senti un peu couillon en ne pouvant pas effacer certains fichiers alors que j'étais bien en root !
          Donc si l'utilité de protéger ainsi certains fichiers est discutable, il est toujours interessant de savoir les remettre dans un état nomal.
    • [^] # Re: protection des fichiers et ext2

      Posté par . Évalué à 1.

      Très utile pour des machines placées chez des clients éparpillés partout en France, exposées sans cesse au public et sur lesquels les vérifications sont peu évidentes (la plupart n'étant joignables qu'à 56 ou 64 Kbps ...)

      Je tiens par ailleur à signaler l'existence de chattr [+-]a qui permet d'empécher toute modification autre que l'ajout de données en fin de fichier, ce qui est plutôt bien pour les logs (à condition de configurer logrotate correctement, également... Tant qu'à faire, passer les archives en 'immutable' via +i ... ;-> )
  • # Re: protection des fichiers et ext2

    Posté par . Évalué à 1.

    Pas mal, je n'avais jamais entendu parlé de cette commande avant.

    L'attribut "a" semble intéressant, il permet d'interdire l'accès à un fichier sauf pour écriture en append. Ça peut être intéressant pour les logs, quand on veut que tout le monde puisse ajouter des choses, mais que personne ne puisse en effacer.

    Il y a aussi l'option "c" qui permet de compresser automatiquement un fichier. Quand on écrit dans le fichier, il est écrit sous forme compressée, et ensuite, quand on le lit, on l'obtient sous forme décompressée... Ça doit ralentir pas mal, mais ca peut être utile. Je me demande si on peut appliquer ça à un système de fichiers au complet.
    • [^] # Re: protection des fichiers et ext2

      Posté par (page perso) . Évalué à 2.

      > Il y a aussi l'option "c" qui permet de compresser automatiquement un fichier.

      Et qui, sauf erreur, n'est pas implémentée dans les kernels standard (elle n'a pas d'effet, voir la section « Bugs and limitations » de la page man). Pour qu'elle fonctionne, tu dois appliquer un patch à ton noyau (voir [ http://cvs.bofh.asn.au/e2compr/(...) ]. Attention, le site n'est plus à jour, mais des patchs continuent d'être produits tout de même, et le manuel devrait être toujours d'actualité). Par ailleurs, il me semble (update : je confirme, je viens de vérifier) que ce patch est intégré au kernel WOLK [ http://sf.net/projects/wolk/(...) ], entre autres bonnes choses. Par ailleurs, il faut te poser la question de la compatibilité : ce système doit utiliser des variables « réservées pour usage futur » dans les structures de données ext2. Il n'est donc pas dit qu'il ne puisse pas y avoir collision avec d'autres extensions (au hasard, les extensions pour les systèmes de fichiers cryptés)...

      > Je me demande si on peut appliquer ça à un système de fichiers au complet.

      Ce n'est pas conseillé, car tu devrais alors être _certain_ de toujours avoir un kernel `e2compr-enabled' pour booter s'il y a un problème. Et même dans ce cas, certains fichiers ne doivent pas être compressés (voir [ http://cvs.bofh.asn.au/e2compr/manual-0.4/e2compr-0.4_37.html#SEC37(...) ] pour plus de détails). Mais pour le reste, y a aucune loi qui t'interdit de `chattr +c *'. À toi de voir...

      Voilà, j'espère avoir été helpefoulle sur ce coup-là (ça me changera des trolls ou des blagues à la mords-moi-l'n?ud :o)

      Envoyé depuis mon PDP 11/70

    • [^] # Re: protection des fichiers et ext2

      Posté par . Évalué à 1.

      > Il y a aussi l'option "c"

      J'ai beaucoup utilisé sous Linux 2.2. çà marchait très bien. J'ai trouvé un patch pour 2.4 :
      http://www.alizt.com/(...)
    • [^] # Re: protection des fichiers et ext2

      Posté par (page perso) . Évalué à 1.

      L'attribut +a m'a été utile récemment pour l'historique des commandes d'un compte guest: chown root:guest, chmod 660, chattr +a.
      C'est pas _le_ tweak du siècle, mais c'est marrant: les commandes tapées s'ajoutent dans l'historique, mais on peut pas en enlever après coup. Par contre, vu qu'il est possible de dire à bash de ne pas loguer une commande, l'intérêt n'est pas absolu.
  • # Re: protection des fichiers et ext2

    Posté par . Évalué à 1.

    Très pratique en effet pour protéger quelques fichiers...
    Pour une partition entière n'oublions pas l'option "read-only" de mount (ro).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.