R: Curiosita` varie: 01 - log-file di sistema
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Dom 25 Feb 2001 13:39:26 UTC
>
> Domanda (probabilmente stupida): ma se il file è in append-only è ancora
> possibile eseguirne il backup e, alla fine, cancellarlo totalmente da parte
> delle utilities di sistema ? (immagino di si)
Il backup e' possibile per i files con l'attributo `append only'
(l'only si riferisce ad operazioni di scrittura, non a TUTTE le operazioni...
avrei dovuto chiarire questo punto)
la cancellazione NO, nemmeno da utilities di sistema: il kernel blocca
tutte le operazioni che comportano una modifica del file tranne quelle
che corrispondono ad allungarlo... per cancellarlo bisogna (essenzialmente)
fare un reboot in modalita' single-user (e/o con le capabilities
opportune ancora attivate) e cambiare un attributo (vedi chattr(1))...
>
> Domanda (stupida) derivata dalla precedente: se un'utility può cancellare
> il file di log non può farlo anche il cracker ?
>
Vedi sopra... e, si', e' un problema per le utilities di sistema, ma
se hai problemi di sicurezza in ogni caso /var/log la monitori a mano :))
> Domanda di riserva ;-)))) come si fa a far creare il file in modo
> append-only ? bisogna dirlo all'http-server (Apache) ? Basta dirlo a Linux ?
> E dopo il backup/delete da parte dell'apposita utility, se l'AO è gestito da
> Linux, il file viene ricreato (alla prima scrittura immagino) ancora in
> Append-Only ?
chattr +a nomefile
[dai una occhiata anche alla manpage, pero']
per la faccenda capabilities (per evitare che root possa togliere il
bit e cancellare il file), c'e' un po' di materiale relativo il
progetto lids (http://www.lids.org), ma purtoppo la documentazione
migliore sono i files
kernel/capability.c
include/linux/capability.h
nei sorgenti del kernel :((
Ciao,
lg
Maggiori informazioni sulla lista
Lug
|