Как запретить суперпользователю изменение файла?

Question

[q2zoff]

Здравствуйте.

Только начинаю изучать linux. Интересует, как можно запретить изменение файла для root'а. Например, как такое стало возможным:

root@ubuntu:~# ls -lh /etc/sysctl.conf
-rw-r--r-- 1 root root 19 Dec 27 17:16 /etc/sysctl.conf
root@ubuntu:~# > /etc/sysctl.conf
-bash: /etc/sysctl.conf: Permission denied

Comments

[Lynn «Кофеман»]

https://en.wikipedia.org/wiki/Extended_file_attributes Может это?

[Adamos]

Именно ТАКОЕ стало возможным потому, что вы пытаетесь запустить на исполнение текстовый файл. А у него, как мы видим выше, нет атрибута x даже у владельца.

[q2zoff]

Adamos, Почему это я пытаюсь запустить на исполнение файл? Я пытаюсь его обнулить. Невозможно, кстати говоря, и права поменять.

[q2zoff]

Алексей Тен, Благодарю за правильный ответ.

[Serg]

посмотрите на вывод:
#lsattr /etc/sysctl.conf
и если вдруг типа такого:
—-i——– /etc/sysctl.conf
дайте:
# chattr -i /etc/sysctl.conf

[Adamos]

Антон Кутузов, да, пардон, сослепу проглядел >.

[Дмитрий]

immutable flag или SELinux

Answer 1

[Сергей Уткин]

На вскидку
1. Selinux
2. ФС в RO.

Но если грамотный root, обойти сможет все :)

Answer 2

[Radjah]

У файла нет прав на выполнение (+x), об этом тебе bash и говорит, когда ты его запустить пытаешься.

Comments

[Сергей Уткин]

только там не запуск ;)

[Radjah]

Сергей Уткин, а что там?
root@ubuntu:~# > /etc/sysctl.conf
Я тут вижу попытку запуска файла /etc/sysctl.conf на исполнение. bash со со мной вполне солидарен. +x у файла нет. Шебанга по крайней мере в debian там нет.

[Сергей Уткин]

Radjah, Символ ">" - перенаправления в файл, по факту выполнения должен быть пустой файл.

Да так и есть

[root@centos7 ~]# dd if=/dev/urandom of=1 bs=1024 count=1
1+0 записей получено
1+0 записей отправлено
 скопировано 1024 байта (1,0 kB), 0,000837279 c, 1,2 MB/c
[root@centos7 ~]# ls -l 1
-rw-r--r--. 1 root root 1024 дек 28 16:52 1
[root@centos7 ~]# > 1
[root@centos7 ~]# ls -l 1
итого 4
-rw-r--r--. 1 root root    0 дек 28 16:52 1

[Никола]

Защита от дурака). Поставить запрет на изменение файла chattr +i file
Снять запрет -i

Answer 3

[Yurii Nekrasov]

А что тут невозможного?
- обычный файл (не директория - d, и не линк какой-то - l)
rw- текущий пользователь имеет право на чтений (r) и запись (w), но не может выполнять файл (-)
r-- пользователи из текущей группы (root) имеют право на чтений (r), но не имеют прав на запись (-) и выполнение файла (-)
r--все остальные пользователи (читай - Мир) имеют право на чтений (r), но не имеют прав на запись (-) и выполнение файла (-)
root root текущий пользователь из группы root

Команда
root@ubuntu:~# > /etc/sysctl.conf
не изменяет файл, она его - выполняет (прочитав) :)

P.S. Здесь можно почитать про запрет редактирования файлов даже пользователем root. Но ограничение довольно условное