Как запретить root'у запись в файл (Centos 6.5)

ValdisRu
На сайте с 02.10.2006
Offline
139
1713

Приветствую, столкнулся с такой проблемкой-

ось Centos 6.5, нужно запретить root'у запись в файл

делаю

#chmod 444 /path/to/file

проверяю

# ls -l /path/to/file

-r--r--r-- 1 root root 5878639 Авг 25 22:53 /path/to/file

вроде все как надо, но root как писал в файл, так и дальше пишет

что я делаю не так? и как надо сделать?

Обалденный заработок на социальных сетях (https://goo.gl/Qtsq6M)
esetnod
На сайте с 16.07.2009
Offline
134
#1

chattr +i /path/to/file

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95
ValdisRu
На сайте с 02.10.2006
Offline
139
#2
esetnod:
chattr +i /path/to/file

спасибо за подсказку но не помогло

# lsattr /path/to/file

----i--------e- /path/to/file

а рут все равно пишет в файл и дальше

пс. файловая система ext4

esetnod
На сайте с 16.07.2009
Offline
134
#3

Так быть не должно. Тот кто пишет, может старый дескриптор держит?

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#4

ValdisRu,

Вы явно что-то путаете:

#1


# id ;mount|grep md0
uid=0(root) gid=0(root) groups=0(root)
/dev/md0 on / type ext4 (rw)

#2


[root@router]# echo 'a' > /tmp/testfile
[root@router]# cat /tmp/testfile
a

#3


[root@router]# chattr +i /tmp/testfile
[root@router]# lsattr /tmp/testfile
----i--------e- /tmp/testfile
[root@router]# echo 'a' > /tmp/testfile
-bash: /tmp/testfile: Permission denied

В случае с правами 444 конечно же рут будет писать, в полне вещей, потому как он владелец файла, там можно хоть 0 поставить , все равно рут будет писать. А вот с chattr.... нет...

Вот выдержка из MAN:


A file with the 'i' attribute cannot be modified: it cannot be deleted or renamed, no link can be created to this file and no data can be written to the file. Only the superuser
or a process possessing the CAP_LINUX_IMMUTABLE capability can set or clear this attribute.

Попробуйте повторить мой набор команд, если у вас после chattr выполнится запись... буду весьма удивлен.

---------- Добавлено 25.08.2014 в 23:48 ----------

esetnod:
Так быть не должно. Тот кто пишет, может старый дескриптор держит?

А причем тут дескриптор... По моему или ТС не правильно проверил после chattr ... или какой-то мега прикол с FS :)

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
ValdisRu
На сайте с 02.10.2006
Offline
139
#5
esetnod:
Так быть не должно. Тот кто пишет, может старый дескриптор держит?

хм

как странно получается

хочу временно запретить запись в лог сендмейла

после chattr +i /path/to/file

вручную изменения в файл не записываются, а вот сендмейл продолжает писать в лог (даже после перезапуска сендмейла)

странно это как то

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#6

ValdisRu, наверное все таки гипотеза esetnod по поводу дескриптора верна.... На сколько я помню, Sendmail то в лог не пишет, а вот syslog...

ValdisRu
На сайте с 02.10.2006
Offline
139
#7
Romka_Kharkov:
ValdisRu, наверное все таки гипотеза esetnod по поводу дескриптора верна.... На сколько я помню, Sendmail то в лог не пишет, а вот syslog...

ага..

всем огромное спасибо за подсказки

проблема решена

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий