Linux. Алексей Стахнов
Чтение книги онлайн.
Читать онлайн книгу Linux - Алексей Стахнов страница 71
• d – no dump. Программе, создающей дампы системы, дается указание игнорировать данный файл во время создания резервной копии;
• с – compress. Система использует прозрачную компрессию для данного файла;
• s – secure deletion. Удаление такого файла сопровождается записью блоков диска, на которых он располагался, нулями;
• u – undelete. Когда приложение запрашивает файл на удаление, система должна сохранить его блоки на диске, чтобы потом его можно было восстановить.
Несмотря на то, что файловая система поддерживает данный набор атрибутов, у ядра и различных приложений остается выбор, учитывать или не учитывать их.
К сожалению, ядро Linux версии 2.4 игнорирует флаги с, s и и.
Флаг A или Atime для определенных файлов может дать некоторую прибавку производительности, т. к. Избавляет систему от необходимости постоянно обновлять поле access time для этих файлов каждый раз, когда их открывают на чтение. Атрибут s или sync увеличивает надежность сохранения данных ценой некоторой потери производительности системы.
Есть две утилиты, специально предназначенные для установки и чтения данных атрибутов: chattr и lsattr.
Команда chattr используется для установки и снятия флагов:
• chattr +Si test. txt – установить флаги sync и immutable для файла test.txt;
• chattr – ai test.txt – убрать флаги append-only и immutable у test.txt;
• chattr =aiA test.txt – установить ограничение на использование только флагов a, i и A.
Команда lsattr выводит список файлов и каталогов с атрибутами и функционально напоминает команду ls.
Команда lsattr -a test*, например, выдаст на экран:
–i– test.conf
–а– test.log
– test.txt
Использование для защиты файлов атрибутов файловой системы не является стопроцентной гарантией защищенности системы. Конечно, атрибуты а и i запрещают изменение защищенных файлов даже процессами, владельцем которых является root, однако в обычных обстоятельствах ничто не мешает пользователю root снять эти флаги. Тем не менее, есть возможность решить эту проблему.
Утилита leap позволяет конфигурировать параметры ядра, и в том числе те, которые определяют работу файловой системы Ext2 с расширенными атрибутами. Вот наиболее важные вызовы leap, которые нас интересуют:
• leap cap_linux_immutable;
• leap CAP_SYS_RAWIO.
Первый параметр запрещает процессам root изменять флаги а и i, а второй параметр запрещает низкоуровневый доступ к блочным устройствам, таким как диски, чтобы предотвратить изменение флагов, используя прямой доступ к файлам.
Пароли и шифрование
Стандартным атрибутом безопасности системы в наше время является пароль. Наиболее общие рекомендации по выбору паролей приведены ниже:
• длина пароля не должна быть менее, чем 8 символов;
• пароль