Журнал ФС

В журнал пишутся обращения и дисковые операции, вроде как посмотреть его нельзя (да и зачем?). Уменьшает шансы факапов при внезапном отключении и следит за целостностью ФС.

Можно ли что-то смотреть или изменять без следов

man fstab. Рекомендую врубить noatime.

пишутся метаданные фс по-умолчанию

Например, я сохринил документ куда-то, а вспомнить не могу. Можно ли посмотреть, куда он сохранился? И еще: в документации Gnu shred написано, что она может быть неэффективна на журналируемых ФС — про это тоже интересно.

каким-нибудь auditd веди лог обращений к фс, журнал фс не для того предназначен

Для поиска документа можно использовать - внезапно - поиск. В руки тебе locate или tracker или что там нынче модно.

Про shred не скажу.

Понятно, что поиск можно использовать. Пример неудачный.

А если я параноик и хочу проверить, не скопировал ли кто-нибудь себе мой секретный документ, это можно посмотреть по логу? (Шифрование для защиты документов не предлагать)

Если ты параноик, то журналирование можно и убрать, пересесть на криптованную ФС и жить в бункере. И да, тебе сказали уже, с метаданными ФС работать надо не напрямую, журнал предназначен не для человеков.

А могут ли 3-буквенные конторы из лога вытянуть что-то интересное?

man fstab. Рекомендую врубить noatime.

Если надо реально без следов, то надо сделать read-only loop-device, а потом уже его монтировать.

Да и то не вполне гарантия.

А если я параноик и хочу проверить, не скопировал ли кто-нибудь себе мой секретный документ, это можно посмотреть по логу?

Если они взяли твой диск и вставили себе в компьютер, то если они не дураки, нельзя посмотреть. Зачем же они будут тебе что-то писать в лог?

А могут ли 3-буквенные конторы из лога вытянуть что-то интересное?

Если ты логом называешь журнал ext4, то запомни простую вещь: журнал используется только в процессе изменений FS, в остальное время он пустой.

Идея рассматривать журнал ФС как некий уютный бложег - это хорошо.

Какими командами можно посмотреть журнал?

гугли ext4 logdump

man fstab
man mount
man mkfs.ext4
man tune2fs

Журнал ФС работает по такому принципу:

1) Перед изменением ФС запишем в журнал, что хотим сделать

2) Выполним изменения

3) Очистим журнал

Если при монтировании или fsck видит непустой журнал, то откатывает все действия, которые там указаны. Это позволяет сохранить целостность ФС, если изменение не получилось закончить из-за программного или аппаратного сбоя (например, выделили блоки под данные файла, но не добавили их к иноду - нужно освободить блоки, чтобы они не висели мёртвым грузом).

Отсюда следует:

1) В журнал не попадает информация о чтении файлов, только о том, что меняет структуру ФС.

2) Если операция была успешно завершена, то журнал может быть очищен, либо перезаписан следующей операцией. Зависит от реализации ФС.

да пжалста:
kernel/fs/ext4
/Documentation/filesystems/ext4.txt