Защитить файлы от случайного удаления рутом

2

2

Некоторый каталог и все файлы в нем принадлежат пользователю user. Возможно ли защитить эти файлы от случайного удаления или перезаписи от имени root? При этом user должен сохранить возможность записи.

Понятно, что невозможно защитить файлы от умышленного удаления или повреждения. Задача именно в том, чтобы запретить удаление без явного изменения атрибутов и др.

Ссылка

←	Создать максимум коннектов на роутере

Openwrt Chaos Calmer 18 не пускает через VPN

→

от случайного удаления или перезаписи от имени root?

cat /root/.bashrc
...
alias rm=rmw

Deleted
(26.03.19 13:40:48 MSK)

Ответ на: комментарий от Deleted 26.03.19 13:40:48 MSK

Не защищает от случайной перезаписи, случайного повреждения и т.д.

Если честно, я сомневаюсь, что простое решение существует.

aquadon ★★★★★
(26.03.19 13:43:16 MSK) автор топика

Копия в другом месте.

targitaj ★★★★★
(26.03.19 13:44:47 MSK)

Ссылка

Ответ на: комментарий от aquadon 26.03.19 13:43:16 MSK

Не защищает от случайной перезаписи, случайного повреждения и т.д.

squashfs+aufs

Deleted
(26.03.19 13:45:18 MSK)

Ссылка

Имутейбл атрибут поставь, там chattr +i или вроде того.

anonymous
(26.03.19 13:48:30 MSK)

Ответ на: комментарий от anonymous 26.03.19 13:48:30 MSK

Запрещает перезапись для владельца тоже.

aquadon ★★★★★
(26.03.19 13:53:12 MSK) автор топика

Ответ на: комментарий от aquadon 26.03.19 13:53:12 MSK

Ну тогда acl. Pam же ты не хочешь?

anonymous
(26.03.19 13:54:39 MSK)

Ответ на: комментарий от anonymous 26.03.19 13:54:39 MSK

На самом деле я уже получил ответ, что простыми стандартными средствами, основанными на атрибутах, это не реализуемо.

Далее самым простым методом мне видится

chattr -i # перед записью
chattr +i # после записи

aquadon ★★★★★
(26.03.19 14:07:21 MSK) автор топика

Ответ на: комментарий от aquadon 26.03.19 14:07:21 MSK

Acl это простые стандартные аттрибуты. Pam тоже простой и стандартный. Но вообще рута ограничивать смысла особого нет, он исправит как ему надо и случайно испортит файлы.

anonymous
(26.03.19 14:10:21 MSK)

Ссылка

chattr +i

LSM (MAC, e. g. SELinux)

кастомная fuse, там можно делать всё что угодно

intelfx ★★★★★
(26.03.19 14:12:23 MSK)
Последнее исправление: intelfx 26.03.19 14:13:08 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 26.03.19 14:12:23 MSK

Я уже думал о монтировании другой ФС, но это явный перебор для моей задачи. Проще забить.

aquadon ★★★★★
(26.03.19 14:13:33 MSK) автор топика

Ответ на: комментарий от aquadon 26.03.19 14:13:33 MSK

DAC тебе не поможет по определению, потому что root (EUID == 0) из него по определению исключён.

Если тебя не устраивает chattr +i и не устраивает оверлейная ФС с нужными свойствами, то остался ровно один способ это сделать, и это LSM.

intelfx ★★★★★
(26.03.19 14:15:24 MSK)

Ссылка

Рут всегда может yes > /dev/sda или ещё какую-то дичь. Вспомите myspace, хех. У меня раздел ежедневных бекапов смонтирован в ro, немного спокойнее, но оффсайт-бекап ещё лучше.

anonymous
(26.03.19 14:24:37 MSK)

Ответ на: комментарий от anonymous 26.03.19 14:24:37 MSK

Это и есть оффсайт-бекап.

aquadon ★★★★★
(26.03.19 14:36:47 MSK) автор топика

Ссылка

В общем, я осознал изначальную бессмысленность этой затеи. Действительно, проще для повышения отказоустойчивости просто скопировать данные ещё в одно место.

aquadon ★★★★★
(26.03.19 14:49:49 MSK) автор топика