अपरिवर्तनीय विशेषता सेट वाली फ़ाइलों की खोज कैसे करें?

कॉन्फ़िगरेशन ऑडिटिंग कारणों के लिए, मैं उन फ़ाइलों के लिए अपने ext3 फाइल सिस्टम को खोजने में सक्षम होना चाहता हूं जिनके पास अपरिवर्तनीय विशेषता सेट (के माध्यम से chattr +i) है। मुझे ऐसा करने के लिए findया इसके समान कोई विकल्प नहीं मिल रहा है । इस बिंदु पर, मुझे डर है कि मुझे lsattrप्रत्येक निर्देशिका के लिए आउटपुट को पार्स करने के लिए अपनी स्क्रिप्ट लिखनी होगी । क्या एक मानक उपयोगिता है जो एक बेहतर तरीका प्रदान करती है?

यह grepकमांड को lsattrकमांड करने के लिए पाइपिंग द्वारा आंशिक रूप से पूरा किया जा सकता है ।

lsattr -R | grep +i

हालाँकि, मेरा मानना ​​है कि जब आप संपूर्ण ext3फ़ाइल सिस्टम का उल्लेख करते हैं तो खोज में शामिल हो सकते हैं /proc, /devऔर कुछ अन्य निर्देशिकाएं जो यदि कुछ त्रुटि की रिपोर्ट करती हैं तो आप अनदेखा करना चाहते हैं। आप संभवतः कमांड को चला सकते हैं,

lsattr -R 2>/dev/null | grep -- "-i-"

आप स्पष्ट रूप से "-i" से अधिक मिलान करने के लिए पीसीआरई सुविधा grepका उपयोग करके थोड़ा अधिक सख्त बनाना चाह सकते हैं grep।

lsattr -R 2>/dev/null | grep -P "(?<=-)i(?=-)"

यह तो इस तरह की स्थितियों के लिए काम करेंगे:

$ lsattr -R 2>/dev/null afile | grep -P "(?<=-)i(?=-)"
----i--------e-- afile

लेकिन अपूर्ण है। यदि अपरिवर्तनीय ध्वज के चारों ओर अतिरिक्त विशेषताएँ सक्षम हैं, तो हम उनका मिलान नहीं करेंगे, और यह उन फ़ाइलों द्वारा मूर्ख बनाया जाएगा जिनके नाम उपरोक्त पैटर्न से मेल खाने के लिए होते हैं, जैसे:

$ lsattr -R 2>/dev/null afile* | grep -P "(?<=-)i(?=-)"
----i--------e-- afile
-------------e-- afile-i-am

हम पैटर्न को इस तरह थोड़ा और कस सकते हैं:

$ lsattr -a -R 2>/dev/null afile* | grep -P "(?<=-)i(?=-).* "
----i--------e-- afile

लेकिन यह अभी भी थोड़ा नाजुक है और आपके फाइल सिस्टम के आधार पर अतिरिक्त ट्विकिंग की आवश्यकता होगी। @StephaneChazeles के रूप में उल्लेख नहीं करने के लिए टिप्पणियों में उल्लेख किया गया है कि उपरोक्त पैटर्न को दरकिनार करने के लिए एक फाइल नाम के साथ newlines के शामिल किए जाने से इसे आसानी से प्राप्त किया जा सकता है grep।

संदर्भ

https://groups.google.com/forum/#!topic/alt.os.linux/LkatROg2SlM

यह देखते हुए कि स्क्रिप्ट का उद्देश्य ऑडिटिंग है, यह विशेष रूप से महत्वपूर्ण है कि मनमाने ढंग से फ़ाइल नामों के साथ सही ढंग से निपटें, उदाहरण के लिए नए नामों वाले नाम। यह lsattrएक साथ कई फ़ाइलों पर उपयोग करना असंभव बनाता है , क्योंकि lsattrउस मामले में आउटपुट अस्पष्ट हो सकता है।

आप एक बार में एक फ़ाइल पर findकॉल कर सकते हैं lsattr। यह हालांकि बहुत धीमी हो जाएगी।

find / -xdev -exec sh -c '
  for i do
     attrs=$(lsattr -d "$i"); attrs=${attrs%% *}
     case $attrs in
       *i*) printf "%s\0" "$i";;
     esac
  done' sh {} +

मैं पर्ल, पाइथन या रूबी जैसी कम क्रैंक भाषा का उपयोग करने और lsattrखुद से काम करने की सलाह देता हूं ।lsattrएक FS_IOC_GETFLAGSioctl syscall जारी करके और फ़ाइल के इनकोड झंडे को पुनः प्राप्त करके संचालित होता है । यहां पाइथन प्रूफ-ऑफ-कॉन्सेप्ट है।

#!/usr/bin/env python2
import array, fcntl, os, sys
S_IFMT =  0o170000
S_IFDIR = 0o040000
S_IFREG = 0o100000
FS_IOC_GETFLAGS = 0x80086601
EXT3_IMMUTABLE_FL = 0x00000010
count = 0
def check(filename):
    mode = os.lstat(filename).st_mode
    if mode & S_IFMT not in [S_IFREG, S_IFDIR]:
        return
    fd = os.open(filename, os.O_RDONLY)
    a = array.array('L', [0])
    fcntl.ioctl(fd, FS_IOC_GETFLAGS, a, True)
    if a[0] & EXT3_IMMUTABLE_FL: 
        sys.stdout.write(filename + '\0')
        global count
        count += 1
    os.close(fd)
for x in sys.argv[1:]:
    for (dirpath, dirnames, filenames) in os.walk(x):
        for name in dirnames + filenames:
            check(os.path.join(dirpath, name))
if count != 0: exit(1)

मनमाने ढंग से फाइल के नाम (न्यूलाइन वर्ण वाले लोगों सहित) से निपटने के लिए, सामान्य चाल की .//.जगह फाइलों को ढूंढना है .। क्योंकि //सामान्य रूप से निर्देशिका ट्री को ट्रेस करते समय नहीं हो सकता है, आप सुनिश्चित हैं कि एक //संकेत find(या यहाँ lsattr -R) उत्पादन में एक नया फ़ाइल नाम की शुरुआत है ।

lsattr -R .//. | awk '
  function process() {
    i = index(record, " ")
    if (i && index(substr(record,1,i), "i"))
      print substr(record, i+4)
  }
  {
    if (/\/\//) {
      process()
      record=$0
    } else {
      record = record "\n" $0
    }
  }
  END{process()}'

ध्यान दें कि आउटपुट अभी भी अलग हो जाएगा। यदि आपको इसे पोस्ट-प्रोसेस करने की आवश्यकता है, तो आपको इसे अनुकूलित करना होगा। उदाहरण के लिए, आप -v ORS='\0'इसे GNU को खिलाने में सक्षम होने के लिए जोड़ सकते हैं xargs -r0।

यह भी ध्यान दें कि lsattr -R(कम से कम 1.42.13) उन फ़ाइलों के झंडे की सूचना नहीं दे सकता है जिनका पथ PATH_MAX से बड़ा है (आमतौर पर 4096) , इसलिए कोई अपनी माता-पिता की निर्देशिका (या पथ के किसी भी घटक) को आगे बढ़ाकर ऐसी अपरिवर्तनीय फ़ाइल को छिपा सकता है - अपने आप को छोड़कर, जैसा कि यह अपरिवर्तनीय है) एक बहुत गहरी निर्देशिका में।

चारों ओर एक काम के findसाथ उपयोग करना होगा-execdir :

find . -execdir sh -c '
  a=$(lsattr -d "$1") &&
    case ${a%% *} in
      (*i*) ;;
      (*) false
    esac' sh {} \; -print0

अब उसके पास -print0 यह पोस्ट-प्रोसेस करने योग्य है, लेकिन यदि आप उन रास्तों के साथ कुछ भी करने का इरादा रखते हैं, तो ध्यान दें कि PATH_MAX से अधिक फ़ाइल पथों पर कोई भी सिस्टम कॉल अभी भी विफल होगा और निर्देशिका घटकों को अंतराल में बदला जा सकता था।

यदि हम एक निर्देशिका ट्री पर एक विश्वसनीय रिपोर्ट प्राप्त करना चाहते हैं जो दूसरों द्वारा संभावित रूप से उपयुक्त है, तो कुछ और मुद्दे अंतर्निहित हैं lsattr कमांड में जो हमें उल्लेख करने की आवश्यकता है:

• रास्ता lsattr -R . से डायरेक्टरी ट्री को ट्रेस किया जाता है, वह रेस की स्थिति के अधीन है। कोई इसे .सही समय पर सहानुभूति के साथ कुछ निर्देशिकाओं को बदलकर निर्देशिका ट्री के बाहर निर्देशिकाओं में उतर सकता है ।
• यहां तक lsattr -d fileकि एक दौड़ की स्थिति है। वे विशेषताएँ केवल नियमित फ़ाइलों या निर्देशिकाओं पर लागू होती हैं। तो lsattrएक करता है lstat()यह देखना होगा कि फ़ाइल सही प्रकार की होती है और उसके बाद है पहले open()के बाद ioctl()विशेषताओं को पुनः प्राप्त करने। लेकिन यह open()बिना कॉल O_NOFOLLOW(न ही O_NOCTTY) है। उदाहरण के लिए और सिस्टम को रीबूट fileकरने के /dev/watchdogलिए कोई सिम्लिंक के साथ बदल सकता है । यह दौड़ की स्थितियों से बचने के लिए , और उसके बाद यहां किया जाना चाहिए ।lstat()open()open(O_PATH|O_NOFOLLOW)fstat()openat()ioctl()

सही दिशा में मुझे इशारा करने के लिए रमेश, एसएलएम और स्टीफन के लिए धन्यवाद (मैं -Rस्विच को याद कर रहा था lsattr)। दुर्भाग्य से, अब तक किसी भी उत्तर ने मेरे लिए सही ढंग से काम नहीं किया।

मैं निम्नलिखित के साथ आया:

lsattr -aR .//. | sed -rn '/i.+\.\/\/\./s/\.\/\///p'

यह एक फ़ाइल को अपरिवर्तनीय होने के रूप में प्रदर्शित होने के लिए उपयोग की जा रही नई सूचियों से बचाता है, जब यह नहीं है। यह उन फ़ाइलों से रक्षा नहीं करता है जो अपरिवर्तनीय हैं और उनके फ़ाइल नाम में नई सुर्खियाँ हैं। लेकिन चूंकि इस तरह की फाइल को रूट द्वारा बनाया जाना होगा, इसलिए मुझे विश्वास हो सकता है कि मेरे उपयोग के मामले में ऐसी फाइलें मेरे फाइल सिस्टम पर मौजूद नहीं हैं। (यह विधि उन मामलों में घुसपैठ का पता लगाने के लिए उपयुक्त नहीं है जहां रूट उपयोगकर्ता से समझौता किया जा सकता है, लेकिन फिर न तो उसी सिस्टम की lsattrउपयोगिता का उपयोग कर रहा है जो उसी रूट उपयोगकर्ता के स्वामित्व में है।)

का उपयोग करते हुए find -exec, बहुत धीमी गति से किया जाता है के उत्पादन को पार्स lsattrहै इसी तरह की है कि अविश्वसनीयls , अजगर में के रूप में प्रयोग गाइल्स से जवाब के लिए निरंतर का चयन करने की आवश्यकता है ioctlकि क्या अजगर दुभाषिया 32- या 64-बिट है पर निर्भर करता है ...

हाथ में समस्या कम या अधिक निम्न-स्तर है, इसलिए निम्न स्तर पर चलते हैं: C ++ स्क्रिप्टिंग भाषा के रूप में उतना बुरा नहीं है :) बोनस के रूप में, इसमें C प्रीप्रोसेसर की पूरी शक्ति के साथ सिस्टम हेडर तक पहुंच है।

निम्न प्रोग्राम अपरिवर्तनीय फ़ाइलों की खोज करता है, एक फाइल सिस्टम के भीतर रहता है, अर्थात कभी भी माउंट पॉइंट्स को पार नहीं करता है। स्पष्ट पेड़ की खोज करने के लिए, आवश्यकतानुसार माउंट बिंदुओं को पार करते FTW_MOUNTहुए, nftwकॉल में ध्वज को हटा दें । इसके अलावा यह सिमिलिंक का पालन नहीं करता है। उनका पालन करने के लिए, FTW_PHYSझंडा हटा दें ।

#define _FILE_OFFSET_BITS 64
#include <iostream>
#include <stdio.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <linux/fs.h>
#include <sys/stat.h>
#include <ftw.h>

bool isImmutable(const char* path)
{
    static const int EXT3_IMMUTABLE_FLAG=0x10;

    const int fd=open(path,O_RDONLY|O_NONBLOCK|O_LARGEFILE);
    if(fd<=0)
    {
        perror(("Failed to open file \""+std::string(path)+"\"").c_str());
        return false;
    }
    unsigned long attrs;
    if(ioctl(fd,FS_IOC_GETFLAGS,&attrs)==-1)
    {
        perror(("Failed to get flags for file \""+std::string(path)+"\"").c_str());
        close(fd);
        return false;
    }
    close(fd);
    return attrs & EXT3_IMMUTABLE_FLAG;
}

int processPath(const char* path, const struct stat* info, int type, FTW* ftwbuf)
{
    switch(type)
    {
    case FTW_DNR:
        std::cerr << "Failed to read directory: " << path << "\n";
        return 0;
    case FTW_F:
        if(isImmutable(path))
            std::cout << path << '\n';
        return 0;
    }
    return 0;
}

int main(int argc, char** argv)
{
    if(argc!=2)
    {
        std::cerr << "Usage: " << argv[0] << " dir\n";
        return 1;
    }
    static const int maxOpenFDs=15;
    if(nftw(argv[1],processPath,maxOpenFDs,FTW_PHYS|FTW_MOUNT))
    {
        perror("nftw failed");
        return 1;
    }
}

आउटपुट को grep करने के बजाय, आउटपुट के पहले फ़ील्ड में केवल 'i' से मिलान करने के लिए awk का उपयोग क्यों नहीं किया जाता है?

lsattr -Ra 2>/dev/null /|awk '$1 ~ /i/ && $1 !~ /^\// {print}'

वास्तव में, मैं इसे सैकड़ों सर्वरों पर / etc डायरेक्टरी को स्कैन करने और आउटपुट को syslog पर भेजने के लिए क्रोन के माध्यम से चलाता हूं। मैं स्प्लंक के माध्यम से एक दैनिक रिपोर्ट उत्पन्न कर सकता हूं:

lsattr -Ra 2>/dev/null /etc|awk '$1 ~ /i/ && $1 !~ /^\// {print "Immutable_file="$2}'|logger -p local0.notice -t find_immutable

बहुत सरल, संदिग्ध फ़ोल्डर में जाएं और कमांड चलाएं:

lsattr -laR | grep *immutable