linux user group brescia

>
>  Domanda (probabilmente stupida): ma se il file è in append-only è ancora
> possibile eseguirne il backup e, alla fine, cancellarlo totalmente da parte
> delle utilities di sistema ? (immagino di si)
Il backup e' possibile per i files con l'attributo `append only'
 (l'only si riferisce ad operazioni di scrittura, non a TUTTE le operazioni...
 avrei dovuto chiarire questo punto)
 la cancellazione NO, nemmeno da utilities di sistema: il kernel blocca
 tutte le operazioni che comportano una modifica del file tranne quelle
 che corrispondono ad allungarlo... per cancellarlo bisogna (essenzialmente)
 fare un reboot in modalita' single-user (e/o con le capabilities 
 opportune ancora attivate) e cambiare un attributo (vedi chattr(1))...

>
>  Domanda (stupida) derivata dalla precedente: se un'utility può cancellare
> il file di log non può farlo anche il cracker ?
>
Vedi sopra... e, si', e' un problema per le utilities di sistema, ma
 se hai problemi di sicurezza in ogni caso /var/log la monitori a mano :))

>  Domanda di riserva ;-))))   come si fa a far creare il file in modo
> append-only ? bisogna dirlo all'http-server (Apache) ? Basta dirlo a Linux ?
> E dopo il backup/delete da parte dell'apposita utility, se l'AO è gestito da
> Linux, il file viene ricreato (alla prima scrittura immagino) ancora in
> Append-Only ?

chattr +a nomefile
[dai una occhiata anche alla manpage, pero']

per la faccenda capabilities (per evitare che root possa togliere il
 bit e cancellare il file), c'e' un po' di materiale relativo il
 progetto lids (http://www.lids.org), ma purtoppo la documentazione
 migliore sono i files
 kernel/capability.c 
 include/linux/capability.h
 nei sorgenti del kernel :((


Ciao,
 lg