Dateisystemattribute geschickt einsetzen

von Dr. Martin Klein Hennig

In der IT-Sicherheit ist die Vergabe von Nutzerkonten mit unterschiedlichen Zugriffsrechten unerlässlich. Dadurch wird der Zugriff auf Dateien eingeschränkt und Systemdateien vor den Nutzern eines Systems geschützt. Die Systemadministration ist dann nur als Superuser möglich. Nur dieser hat Zugriff auf alle Dateien des Systems. Gerade bei der Kommandozeilenarbeit unter Linux ist deshalb Vorsicht geboten: ein falsch platzierter Slash oder ein Tippfehler in einem Shellskript und viele wichtige Dateien werden überschrieben oder gelöscht. Auch wird von Angreifern versucht, verschiedene Konfigurationsdateien oder ausführbare Programme zu manipulieren. Um solche Fehler zu verhindern oder zumindest die Konsequenzen einzudämmen, gibt es einige Möglichkeiten. Eine davon ist die Verwendung des Attributes immutable, das für Dateien gesetzt werden kann.

Immutable – Unveränderbar

Das Dateisystemattribut immutable gibt es in den Dateisystemen der ext-Familie, sowie unter anderem bei XFS, ReiserFS und JFS. Dieses und andere Attribute lassen sich nicht, wie die Zugriffsrechte read, write und execute mit dem Befehl chmod setzen, sondern mit chattr. Das chattr-Kommando kann nur vom Superuser benutzt werden.

Eine Datei, die mittels chattr auf immutable gesetzt wird, lässt sich weder löschen noch verändern:

root@server:~# chattr +i beispiel.txt

root@server:~# rm -f beispiel.txt

rm: Entfernen von „beispiel.txt“ nicht möglich: Die Operation ist nicht erlaubt

root@server:~# echo „Test“ > beispiel.txt

bash: beispiel.txt: Keine Berechtigung

Erst, wenn das Attribut wieder durch den Aufruf von chattr entfernt wurde, kann die Datei bearbeitet werden:

root@server:~# chattr -i beispiel ...

Zum vollständigen Artikel

Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK