Gostaria de saber se posso impedir que o usuário root exclua um arquivo. É possível?
Responder1
Não, isso não é possível. Você pode definir o atributo imutável com chattr +i
, o que pelo menos tornará irritante e não óbvio o que deve ser feito para permitir a gravação no arquivo, mas eles podem simplesmente desmarcá-lo novamente. Além disso, seu sistema de arquivos deve suportar isso e ter a funcionalidade habilitada.
O SELinux também pode fazer algumas limitações, mas, novamente, pode ser desabilitado.
A melhor solução é controlar adequadamente os usuários e programas, limitando seu acesso e não permitindo que sejam executados como root, a menos que seja absolutamente necessário.
Responder2
Como outros já disseram, geralmente, a ideia de root é que um usuário tem permissão para fazer a máquina fazer qualquer coisa que ela possa fazer. Portanto, não existe um sinalizador fácil que possa impedir o root deintencionalmenteexcluir um arquivo ( chattr +i
pode impediracidentaleliminação).
Mas, apesar disso, existem algumas soluções:
- Coloque o arquivo em um servidor de arquivos e configure o servidor de arquivos para não permitir a exclusão. Isso funciona porque a raiz local não é raiz no servidor de arquivos.
- Coloque o arquivoMINHOCAmeios de comunicação. Isso funciona porque o hardware não permite a substituição, portanto os dados ficam protegidos. (Substituir não é algo que a máquina possa fazer.) As opções baratas são CD-R e DVD-R. Certifique-se de que sua unidade não possa substituir (destruir) seções já escritas. Existem cartões SD WORM também.
Responder3
Não.
Qualquer usuário com privilégios “sudo” ou o usuário root pode ver e deletar tudo.
Porém em um sistema ideal você não precisaria se preocupar com isso porque apenas um usuário tem superprivilégios, e ele só usará quando for necessário e sempre de forma responsiva.
Responder4
É possível em circunstâncias muito específicas:
Você pode desconectar a unidade USB onde ocorre a alteração ou desconectar o cabo Ethernet entre o computador e o NAS. Mas é provável que o arquivo esteja corrompido ou inacessível, ou ambos.
Além da ação baseada em hardware, você poderá restaurar o arquivo de um backup anterior.