[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: file --preserve-date aendert die ctime und verstuemmelt die atime

Subject: Re: file --preserve-date aendert die ctime und verstuemmelt die atime
From: Martin Marcher <martin@xxxxxxxxxxxx>
Date: Thu, 14 Nov 2013 21:10:40 +0100
To: uugrn@xxxxxxxxxxxxxxx

Hi,

On 2013-11-12, at 23:23, Raphael Eiselstein <rabe@xxxxxxxxx> wrote:

>     -p, --preserve-date On systems that support utime(3) or utimes(2), 
>        attempt to preserve the access time of files analyzed, to pretend
>        that file never read them.
> 
> Davon abgesehen, dass dabei der Anteil der Nano-Sekunden abhanden kommt:
> dabei wird offensichtlich die ctime veraendert!!

Steht ja auch nicht da dass die ctime gleich bleibt. Da steht nur â??sofern moeglich bleibt access time unveraendertâ??. Es ist also noch nicht mal garantiert das die atime unveraendert bleibt.

Ich sehe da keinen Bug.

> in einem script, mit dem ich Dateien in einem Verzeichnis scanne
> (erfasse, inventarisiere), habe ich u.a. so ein Konstrukt verwendet:

Wenn es dir darum geht wie/wo/wann Files veraendert werden gibts da auch durchaus Moeglichkeiten angefangen vom audit Subsystem (ja gibts fuer Linux und FreeBSD) :) bis hin zu git/svn/$SCM_OF_LEAST_MISTRUST.

Inventarisierung klingt fuer mich jetzt erstmal nach â??Desktop Searchâ?? aehnlich wie Spotlight unter OSX oder diesem Windows Teil (Windows Desktop Search?).

> In meinem *speziellen* Anwendungsfall hat die unerwuenschte Aenderung der
> ctime dazu gefuehrt, dass der folgende Schritt im Script Dateien fuer eine 
> Ueberpruefung der Chcksummen vorselektiert hat. Da zuvor *alle* Dateien
> mittels "file --preserve-date" gelesen wurden, war bei allen Files die
> ctime veraendert worden. Das Ganze wird in sqlite ausgewertet

Das klingt schon mehr nach Filesystem-Audit. Ich bin da bei Alexander, aide oder ein sonstiges IDS bzw. audit-Framework vom OS zu verwenden (wenn Audit die Richtung ist die das Tool erfuellen soll).

Vorteile:

* Das hatte Peer Review
* Da machen sich mehr Leute Gedanken drueber
* Man muss das Rad nicht neu erfinden
* Integriert sich meistens recht einfach in das restliche Oekosystem

> http://www.freebsd.org/cgi/man.cgi?query=auditpipe&sektion=4&manpath=FreeBSD+9.2-RELEASE
>> The audit facility provides an audit pipe facility for applications requiring direct access to live BSM audit data for the purposes of realtime monitoring.  Audit pipes are available via a clonable special device, /dev/auditpipe, subject to the permissions on the device node, and provide a "tee" of the audit event stream.  As the device is clonable, more than one instance of the device may be opened at a time; each device instance will provide independent access to all records.

LG,
Martin
-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/