Junto com as permissões usuais de leitura, gravação e execução de arquivos , os arquivos Linux têm outro conjunto de atributos que controlam outras características do arquivo. Veja como vê-los e alterá-los.
Índice
Permissões e atributos
No Linux, quem pode acessar um arquivo e o que pode fazer com ele é controlado por um conjunto de permissões centrado no usuário . Se você pode ler o conteúdo de um arquivo , gravar novos dados no arquivo ou executar um arquivo se for um script ou um programa, tudo é governado por esse conjunto de permissões. As permissões são aplicadas ao arquivo, mas definem as restrições e recursos para diferentes categorias de usuário.
Existem permissões para o proprietário do arquivo, para o grupo do arquivo e para outros , ou seja, usuários que não estão nas duas primeiras categorias. Você pode usar o ls
comando com a -l
opção (lista longa) para ver as permissões em um arquivo ou diretório.
Para alterar as permissões, você usa o chmod
comando . Pelo menos, você pode se tiver permissões de gravação para o arquivo ou se for o usuário root.
Podemos ver que as permissões de arquivo são centradas no usuário porque concedem ou removem permissões no nível do usuário. Por outro lado, os atributos de um arquivo são centrados no sistema de arquivos. Assim como as permissões, elas são definidas no arquivo ou diretório. Mas uma vez definidos, eles são os mesmos para todos os usuários.
Atributos são uma coleção separada de configurações de permissões. Atribui características de controle, como imutabilidade e outros comportamentos no nível do sistema de arquivos. Para ver os atributos de um arquivo ou diretório usamos o lsattr
comando. Para definir os atributos usamos o chattr
comando.
Permissões e atributos são armazenados dentro de inodes . Um inode é uma estrutura de sistema de arquivos que contém informações sobre objetos do sistema de arquivos, como arquivos e diretórios . A localização de um arquivo no disco rígido, sua data de criação, suas permissões e seus atributos são armazenados em seu inode.
Como diferentes sistemas de arquivos têm diferentes estruturas e recursos subjacentes, os atributos podem se comportar de maneira diferente — ou ser completamente ignorados — por alguns sistemas de arquivos. Neste artigo, estamos usando ext4
qual é o sistema de arquivos padrão para muitas distribuições Linux.
Olhando para os atributos de um arquivo
Os comandos chattr
e lsattr
já estarão presentes no seu computador, então não há necessidade de instalar nada.
Para verificar os atributos nos arquivos no diretório atual, use lsattr
:
lsattr
As linhas tracejadas são espaços reservados para atributos que não estão definidos. O único atributo definido é o e
atributo (extensões). Isso mostra que os inodes do sistema de arquivos estão usando — ou usarão, se necessário — extensões para apontar para todas as partes do arquivo no disco rígido.
Se o arquivo for mantido em uma sequência contígua de blocos de disco rígido, seu inode só precisa gravar o primeiro e o último bloco usado para armazenar o arquivo. Se o arquivo estiver fragmentado , o inode deve registrar o número do primeiro e do último bloco de cada parte do arquivo. Esses pares de números de bloco de disco rígido são chamados de extensões.
Esta é a lista dos atributos mais usados.
- a : Anexar apenas. Um arquivo com este atributo só pode ser anexado. Ele ainda pode ser gravado, mas apenas no final do arquivo. Não é possível sobrescrever nenhum dos dados existentes no arquivo.
- c : Comprimido. O arquivo é compactado automaticamente no disco rígido e descompactado quando é lido. Os dados gravados nos arquivos são compactados antes de serem gravados no disco rígido.
- R : Sem
atime
atualizações . Oatime
é um valor em um inode que registra a última vez que um arquivo foi acessado. - C : Sem cópia na gravação. Se dois processos solicitarem acesso a um arquivo, eles poderão receber ponteiros para o mesmo arquivo. Eles só recebem sua própria cópia exclusiva do arquivo se tentarem gravar no arquivo, tornando-o exclusivo para esse processo.
- d : Sem despejo. O comando Linux
dump
é usado para gravar cópias de sistemas de arquivos inteiros na mídia de backup. Este atributo fazdump
ignorar o arquivo. Ele é excluído do backup. - D : Atualizações de diretório síncronas. Quando esse atributo é ativado para um diretório, todas as alterações nesse diretório são gravadas de forma síncrona — ou seja, imediatamente — no disco rígido. As operações de dados podem ser armazenadas em buffer.
- e : Formato de extensão. O
e
atributo indica que o sistema de arquivos está usando extensões para mapear o local do arquivo no disco rígido. Você não pode alterar isso comchattr
. É uma função da operação do sistema de arquivos. - e : Imutável. Um arquivo imutável não pode ser modificado, incluindo renomeação e exclusão. O usuário root é a única pessoa que pode ativar ou desativar esse atributo.
- s : Exclusão segura. Quando um arquivo com esse conjunto de atributos é excluído, os blocos de disco rígido que continham os dados do arquivo são substituídos por bytes contendo zeros. Observe que isso não é respeitado pelo
ext4
sistema de arquivos. - S : Atualizações síncronas. As alterações em um arquivo com seu
S
conjunto de atributos são gravadas no arquivo de forma síncrona. - u : A exclusão de um arquivo que tem seu
u
atributo definido faz com que uma cópia do arquivo seja feita. Isso pode ser benéfico para a recuperação de arquivos se o arquivo foi removido por engano.
Alterando os atributos de um arquivo
O chattr
comando nos permite alterar os atributos de um arquivo ou diretório. Podemos usar os operadores +
(set) e -
(unset) para aplicar ou remover um atributo, semelhante ao chmod
comando e permissões.
O chattr
comando também possui um =
operador (somente conjunto). Isso configura os atributos de um arquivo ou diretório apenas para os atributos especificados no comando. Ou seja, todos os atributos não listados na linha de comando não estão definidos .
Configurando o atributo Append Only
Vamos definir o atributo append-only em um arquivo de texto e ver como isso afeta o que podemos fazer com o arquivo.
sudo chattr +a arquivo de texto.txt
Podemos verificar se o bit somente de acréscimo foi definido usando lsattr
:
lsattr arquivo-texto.txt
A letra “ a
” indica que o atributo foi definido. Vamos tentar sobrescrever o arquivo. Redirecionar a saída para um arquivo com um único colchete angular “ >
” substitui todo o conteúdo do arquivo pela saída redirecionada.
Nós pré-carregamos o arquivo de texto com algum texto de espaço reservado lorem ipsum .
cat arquivo-texto.txt
Vamos redirecionar a saída ls
para o arquivo:
ls -l > arquivo-texto.txt
sudo ls -l > arquivo-texto.txt
A operação não é permitida, mesmo que usemos o sudo
comando .
Se usarmos dois colchetes angulares “ >>
” para redirecionar a saída, ela será anexada aos dados existentes no arquivo. Isso deve ser aceitável para nosso arquivo de texto somente anexado.
sudo ls -l >> arquivo-texto.txt
Voltamos ao prompt de comando sem nenhuma mensagem de erro. Vamos espiar dentro do arquivo para ver o que aconteceu.
cat arquivo-texto.txt
A saída redirecionada de ls
foi adicionada ao final do arquivo.
Embora possamos anexar dados ao arquivo, essa é a única alteração que podemos fazer nele. Não podemos excluí-lo e nem fazer root.
rm arquivo-texto.txt
sudo rm arquivo de texto.txt
Configurando o atributo imutável
Se você deseja proteger um arquivo que nunca terá novos dados adicionados a ele, você pode definir o atributo imutável. Isso impede todas as alterações no arquivo, incluindo anexar dados.
sudo chattr +i segundo arquivo.txt
lsattr segundo arquivo.txt
Podemos ver o “ i
” indicando que o atributo imutável foi definido. Tendo tornado nosso arquivo imutável, mesmo o usuário root não pode renomeá-lo ( mv
), excluí-lo ( rm
) ou adicionar dados a ele.
sudo mv segundo arquivo.txt novo-nome.txt
sudo rm segundo arquivo.txt
sudo ls -l >> segundo arquivo.txt
Não confie na exclusão segura no ext4
Como apontamos, alguns sistemas operacionais não suportam todos os atributos. O atributo delete seguro não é respeitado pela ext
família de sistemas de arquivos , incluindo ext4
. Não confie nisso para a exclusão segura de arquivos.
É fácil ver que isso não funciona no ext4
. Vamos definir o s
atributo (exclusão segura) em um arquivo de texto.
sudo chattr +s terceiro arquivo.txt
O que vamos fazer é descobrir o inode que contém os metadados sobre este arquivo. O inode contém o primeiro bloco de disco rígido ocupado pelo arquivo. O arquivo contém algum texto de espaço reservado lorem ipsum .
Leremos esse bloco diretamente do disco rígido para verificar se estamos lendo o local correto do disco rígido. Vamos excluir o arquivo e ler o mesmo bloco de mergulho mais uma vez. Se o atributo de exclusão segura estiver sendo respeitado, devemos ler os bytes zerados.
Podemos encontrar o inode do arquivo usando o hdparm
comando com a --fibmap
opção (file block map).
sudo hdparm --fibmap terceiro arquivo.txt
O primeiro bloco de disco rígido é 18100656. Usaremos o dd
comando para lê-lo.
As opções são:
- if=/dev/sda : lê a partir do primeiro disco rígido neste computador.
- bs=512 : Use um tamanho de bloco de disco rígido de 512 bytes.
- skip=18100656 : Ignora todos os blocos antes do bloco 18100656. Em outras palavras, comece a ler no bloco 18100656.
- count=1 : Lê um bloco de dados.
sudo dd if=/dev/sda bs=512 pular=18100656 contagem=1
Como esperado, vemos o texto do placeholder lorem ipsum . Estamos lendo o bloco correto no disco rígido.
Agora vamos deletar o arquivo.
rm terceiro arquivo.txt
Se lermos esse mesmo bloco de disco rígido, ainda poderemos ver os dados.
sudo dd if=/dev/sda bs=512 pular=18100656 contagem=1
Novamente, não dependa disso para exclusão segura em ext4
. Existem métodos melhores disponíveis para excluir arquivos para que eles não possam ser recuperados.
Útil, mas use com cuidado
Definir os atributos dos arquivos pode torná-los imunes a desastres acidentais. Se você não pode excluir ou substituir um arquivo, é bastante seguro.
Você pode pensar que gostaria de aplicá-los aos arquivos do sistema e tornar sua instalação do Linux mais segura . Mas os arquivos do sistema precisam ser substituídos periodicamente à medida que as atualizações são emitidas ou as atualizações são aplicadas. Por esse motivo, é mais seguro usar esses atributos apenas em arquivos de sua própria criação.