chattr ログ改竄防止

/ LPIC / Comment[0]
chattrコマンドとはファイルの属性 (attribute) を変更するコマンドです。

# chattr +a /var/log/buffalo-router.log
+aで「追加のみ」という変わった属性が付けられるわけです。

属性を確認してみましょう。
# lsattr /var/log/buffalo-router.log
-----a-----------e- /var/log/buffalo-router.log

aが付いてますね。

追加をしてみましょう。
ログファイルなので、追加が出来なければ意味がありません。
# echo "test" >> /var/log/buffalo-router.log
# cat /var/log/buffalo-router.log
test

testという文字が追加されました。

でわ削除してみましょう。
$ sudo rm /var/log/buffalo-router.log
rm: `/var/log/buffalo-router.log' を削除できません。: Operation not permitted

rootになってから削除してみましょう。
p@Phantom-zero:~$ su
パスワード:
root@Phantom-zero:/home/p# rm /var/log/buffalo-router.log
rm: `/var/log/buffalo-router.log' を削除できません。: Operation not permitted

この通り削除、改竄は不可能。追加のみ可能な属性です。

ただし、rootを乗っ取られた場合# chattr -R -a *という風に元の属性に戻されて改竄されてしまいまう可能性が出てきます。


使い方

# chattr -R -a /var/log/
/var/logディレクトリ内のログファイルを追加のみ属性に変更する

# find / -name "初春" -exec "chattr +i" {} \;
findコマンドで初春を見付次第、iつまり、変更不可能属性を付ける
いかなるユーザであっても属性を解除するまで変更は不可能になります。

# for i in `locate "千歳" "亜夜子" "怜"` ; do chattr +i $i ; done
locateで千歳、亜夜子、怜をそれぞれ含むファイルを高速に検索し、変更不可能属性を付ける
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可