видалення дозволу на запис не перешкоджає root запису у файл

Щойно я помітив на своїй машині Ubuntu (файлова система ext3), що видалення дозволів на запис з файлу не захищає коренів від його запису.

Це загальне правило дозволів на файли UNIX? Або специфічно для Ubuntu? Або неправильна конфігурація на моїй машині?

# touch abc
# chmod ugo-w abc
# пітон
Python 2.6.4 (r264: 75706, 7 грудня 2009, 18:45:15) 
[GCC 4.4.1] на linux2
Введіть "довідка", "авторське право", "кредити" або "ліцензія" для отримання додаткової інформації.
>>> відкрити ('abc', 'w'). write ('AAA \ n')
>>> 
# кішка абс
ААА

Запис у файл не вдається (як очікувалося), якщо я це роблю зі свого звичайного облікового запису користувача.

1. Це нормальна поведінка?

2. Чи є спосіб запобігти випадковому запису root у файл? (Переважно, використовуючи звичайні механізми файлової системи, а не AppArmor тощо)

Будь ласка, навчіть мене про щось, чого я напевно не розумію.

ПРИМІТКА. Я розумію, що root має повний контроль над системою і може, наприклад, змінювати дозволи на будь-який файл. Моє запитання - чи застосовуються в даний час встановлені дозволи на код, що працює як root . Ідея полягає в тому, щоб користувач root не дав їй випадково записати файл.

ПРИМІТКА. Також я розумію, що не слід входити в систему як корінь для звичайних операцій. Я щойно помітив цю поведінку і прошу вас про це.

1) Це нормальна поведінка. root має rw доступ до всіх файлів у будь-який час.

2) Ви можете захистити файл навіть від root (не навмисно, але випадково, все одно), використовуючи

chattr +i filename.ext

Тобто "зміни атрибутів додають незмінні". Щоб зняти захист:

chattr -i filename.ext

подивіться man chattrдля отримання додаткової інформації

1. Так, це нормально. Корінь - бог.

2. Так, є способи запобігти перезапису файлів root.

   • Встановити незмінний біт за допомогою chattr( +iвстановлює, -iзнімає). Потрібен кореневий доступ, працює лише на ext2 / ext3 (імовірно, ext4 теж), але в іншому випадку є практичним.
   • Не запускайте програми як root. Ні кореневих приватних файлів, ні перезаписування файлів. Використовувати sudoдля доступу до системних функцій.
   • Демонтуйте файлову систему. Жодних змонтованих файлів, жодних файлів перезапису. [*]
   • Вимкніть комп’ютер. Ні електрики, ні перезаписування файлів.

Ці методи логічно випливають з №1. Як бачите, останні два способи, як правило, не корисні, так само як захист Windows від вірусів шляхом відключення мережі, як правило, не корисно. Ось чому корінь небезпечний. [+]

_{[*] Звичайно, знижка можливості "випадкового" запису безпосередньо на блоковий пристрій. Так, root може це зробити. Так, ви можете запобігти цьому: відключіть пристрій.}

_{[+] Тут також походять ці міфи про BOfH. Вони не всі міфи.}

Ви також можете обмежити доступ до файлу для кореневого користувача, скориставшись ядром Linux "Можливості": http://www.securityfocus.com/infocus/1400

Існує також можливість використання SE-Linux або якогось іншого виправлення ядра, щоб зробити деякі файли незмінними навіть для root.

Я думаю, що поки root є надрукувальником, і він може робити все, що завгодно, ви не можете видалити йому жодного дозволу, також якщо ви є коренем. Мається на увазі, що кореневою волею не можна буде робити чи не робити операцію (наприклад, записати у файл чи відкрити додаток).

Тож ні, швидше за все, ви б лише відключили кореневий рахунок, щоб запобігти його поганому використанню.

З повагою

[зверніть увагу на себе: ви будете покірними ... можливо, ви помиляєтесь]