Re: file --preserve-date aendert die ctime und verstuemmelt die atime

Autor: Martin Marcher <martin_at_marcher.name>
Datum: Thu, 14 Nov 2013 21:10:40 +0100
Hi,

On 2013-11-12, at 23:23, Raphael Eiselstein <rabe_at_uugrn.org> wrote:

>     -p, --preserve-date On systems that support utime(3) or utimes(2), 
>        attempt to preserve the access time of files analyzed, to pretend
>        that file never read them.
> 
> Davon abgesehen, dass dabei der Anteil der Nano-Sekunden abhanden kommt:
> dabei wird offensichtlich die ctime verändert!!

Steht ja auch nicht da dass die ctime gleich bleibt. Da steht nur “sofern möglich bleibt access time unverändert”. Es ist also noch nicht mal garantiert das die atime unverändert bleibt.

Ich sehe da keinen Bug.

> in einem script, mit dem ich Dateien in einem Verzeichnis scanne
> (erfasse, inventarisiere), habe ich u.a. so ein Konstrukt verwendet:

Wenn es dir darum geht wie/wo/wann Files veraendert werden gibts da auch durchaus Möglichkeiten angefangen vom audit Subsystem (ja gibts fuer Linux und FreeBSD) :) bis hin zu git/svn/$SCM_OF_LEAST_MISTRUST.

Inventarisierung klingt fuer mich jetzt erstmal nach “Desktop Search” aehnlich wie Spotlight unter OSX oder diesem Windows Teil (Windows Desktop Search?).

> In meinem *speziellen* Anwendungsfall hat die unerwünschte Änderung der
> ctime dazu geführt, dass der folgende Schritt im Script Dateien für eine 
> Überprüfung der Chcksummen vorselektiert hat. Da zuvor *alle* Dateien
> mittels "file --preserve-date" gelesen wurden, war bei allen Files die
> ctime verändert worden. Das Ganze wird in sqlite ausgewertet

Das klingt schon mehr nach Filesystem-Audit. Ich bin da bei Alexander, aide oder ein sonstiges IDS bzw. audit-Framework vom OS zu verwenden (wenn Audit die Richtung ist die das Tool erfuellen soll).

Vorteile:

* Das hatte Peer Review
* Da machen sich mehr Leute Gedanken drueber
* Man muss das Rad nicht neu erfinden
* Integriert sich meistens recht einfach in das restliche Ökosystem

> http://www.freebsd.org/cgi/man.cgi?query=auditpipe&sektion=4&manpath=FreeBSD+9.2-RELEASE
>> The audit facility provides an audit pipe facility for applications requiring direct access to live BSM audit data for the purposes of realtime monitoring.  Audit pipes are available via a clonable special device, /dev/auditpipe, subject to the permissions on the device node, and provide a "tee" of the audit event stream.  As the device is clonable, more than one instance of the device may be opened at a time; each device instance will provide independent access to all records.

LG,
Martin
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 14.11.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 14.11.2013 CET