File-Flags

Zusätzlich zu den grundlegenden Dateiberechtigungen bietet FreeBSD^® File-Flags an, die eine weitere Sicherheitsebene zur Dateikontrolle hinzufügen. Abhängig von der Sicherheitsstufe, die im Kapitel Securelevel erklärt wird, haben File-Flags unterschiedliche Auswirkungen. Im Folgenden finden Sie einige gängige File-Flags, die helfen, Ihr System zu sichern. Eine vollständige Liste der File-Flags finden Sie im jeweiligen Handbuch.

sappnd: Dateien, die mit diesem Flag gekennzeichnet sind, können weder bearbeitet noch gelöscht werden, aber es ist erlaubt, den Inhalt anzuhängen. Dies ist z. B. für Protokolldateien sinnvoll, die auf diese Weise wachsen können, aber von einem Angreifer nicht gelöscht werden können, um sein Eindringen zu erschweren. Sappnd kann nur mit Root-Rechten gesetzt werden und kann nicht mit Securelevel 1 oder höher entfernt werden.

uppnd: Wie sappnd, aber neben root kann auch der Dateibesitzer dieses Flag setzen und entfernen. Nützlich, um versehentliches Löschen oder Ändern einer Datei zu verhindern.

schg: Dateien, die mit diesem Flag gekennzeichnet sind, können nicht bearbeitet, gelöscht oder an einen anderen Ort verschoben werden. Schg kann nur mit Root-Rechten gesetzt werden und kann nicht mit Sicherheitsstufe 1 oder höher entfernt werden.

uchg: Wie schg, aber neben root kann auch der Dateibesitzer dieses Flag setzen und entfernen.

Setzen Sie File-Flags mit dem Befehl chflags, gefolgt von dem jeweiligen File-Flag und der Datei, die Sie schützen wollen: doas chflags sappnd /pfad/zu/datei

File-Flags löschen, indem Sie ein "no" vor den Namen des File-Flags setzen: doas chflags nosappnd /pfad/zu/datei

Ein Beispiel für die Verwendung von File-Flags, um Ihr System sicherer zu machen, ist, den Kernel Ihres Dateisystems vor Änderungen zu schützen: doas chflags schg /boot/kernel/kernel

Beachten Sie, dass bei Systemaktualisierungen das File-Flag gelöscht werden muss.

Verwenden Sie die Option -R, um das File-Flag auch für Verzeichnisse und Dateien in dem von Ihnen angegebenen Ordner redundant zu setzen. Mit dem folgenden Befehl können Sie nicht alle Ihre Protokolldateien entfernen, aber Sie und das System können trotzdem Protokolle anhängen: doas chflags -R schg /var/log

Wenn Sie File-Flags nicht einfach entfernen können, dann befindet sich das System möglicherweise in einer höheren Sicherheitsstufe. Standardmäßig befindet sich TwinCAT/BSD in der Sicherheitsstufe -1, die keine zusätzliche Sicherheit für das System bietet und es erlaubt, File-Flags zu ändern. In höheren Sicherheitsstufen ist es nicht möglich File-Flags zu ändern.