Linux - Existe uma maneira de impedir/proteger que um arquivo seja excluído, mesmo pelo root?

Sim, você pode alterar os atributos do arquivo para somente leitura.

O comando é:

chattr +i filename

E para desativá-lo:

chattr -i filename

De man chattr:

Um arquivo com o iatributo não pode ser modificado: não pode ser excluído ou renomeado, nenhum link pode ser criado para este arquivo e nenhum dado pode ser gravado no arquivo. Somente o superusuário ou um processo que possua a CAP_LINUX_IMMUTABLEcapacidade pode definir ou limpar esse atributo.

Grave-o em um CD. Coloque o CD em uma unidade de CD-ROM e acesse-o de lá.

1. Crie uma imagem do sistema de arquivos.
2. Monte a imagem.
3. Copie o arquivo para a imagem montada.
4. Desmonte a imagem e monte-a novamente como somente leitura.
5. Agora você não pode excluí-lo.

Exemplo:

# dd if=/dev/zero of=readonly.img bs=1024 count=1024
# mkfs.ext2 readonly.img
# mkdir readonlyfolder
# mount readonly.img readonlyfolder/
# echo "can't delete this" > readonlyfolder/permanent.txt
# umount readonlyfolder
# mount -o ro readonly.img readonlyfolder
# cat readonlyfolder/permanent.txt 
can't delete this
# rm readonlyfolder/permanent.txt 
rm: cannot remove `readonlyfolder/permanent.txt': Read-only file system

Você também deve criar vários links físicos para o arquivo. Eles devem estar em vários locais que os usuários comuns não podem acessar.

Dessa forma, mesmo que eles consigam anular a proteção do seu chattr, os dados permanecerão e você poderá restaurá-los facilmente onde seu aplicativo os estiver procurando.

O Linux tem a chamada opção de montagem de ligação, que é um recurso bastante poderoso e útil para saber :

%  cd $TMP && mkdir usebindmountluke && cd usebindmountluke
%  echo usebindmountluke > preciousfile
%  sudo mount -B preciousfile preciousfile
%  sudo mount -oremount,ro preciousfile
%  echo sowhat > preciousfile
zsh: read-only file system: preciousfile
%  rm preciousfile
rm: cannot remove ‘preciousfile’: Read-only file system

— o que está sendo feito aqui é vincular o arquivo de montagem a si mesmo (sim, você pode fazer isso no Linux), então ele é remontado no modo R/O. Claro que isso também pode ser feito no diretório.

Outros responderam à sua pergunta como você a fez. Como o @Sven mencionou em um comentário, a solução geral para a pergunta "Como posso garantir que nunca perderei um arquivo?" é criar um backup do arquivo. Faça uma cópia do arquivo e armazene-o em vários lugares. Além disso, se o arquivo for extremamente importante e sua empresa tiver uma política de backup de dados importantes com um serviço de backup, você pode considerar a inclusão desse arquivo no serviço.

No Linux, o sinalizador imutável é suportado apenas em alguns tipos de sistema de arquivos (a maioria dos nativos, como ext4, xfs, btrfs...)

Em sistemas de arquivos em que não há suporte, outra opção é montar o arquivo sobre si mesmo no modo somente leitura. Isso deve ser feito em duas etapas:

mount --bind file file
mount -o remount,bind,ro file

Isso deve ser feito a cada inicialização, por exemplo, via /etc/fstab.

Em um comentário à resposta de Kevin , Jerry menciona:

Bem, é claro que o arquivo está sendo copiado regularmente, eu só queria outra camada de proteção contra usuários que às vezes estão trabalhando na caixa com permissões de usuário root. –

Vou presumir que você não pode mudar essa prática, pois é uma péssima ideia.

Todas as sugestões sobre o uso de um dispositivo somente leitura têm o mesmo problema - torna um PITA para você fazer alterações legítimas quando necessário. No caso de uma unidade bloqueável, como um cartão SD, você se depara com o problema de ficar subitamente vulnerável ao desbloqueá-la para fazer suas alterações.

Em vez disso, o que eu recomendaria é configurar outra máquina como um servidor NFS e compartilhar o diretório com os arquivos importantes para a(s) máquina(s) em que os usuários têm root. Compartilhe a montagem como somente leitura, para que as máquinas com usuários em quem você não confia não possam fazer modificações. Quando você precisar fazer alterações legítimas, poderá se conectar ao servidor NFS e fazer nossas alterações lá.

Usamos isso para nossos servidores da Web, para que uma exploração bem-sucedida contra o servidor da Web não seja capaz de inserir ou alterar nenhum arquivo que o servidor serviria de volta ou alterar a configuração.

Observe que isso ainda pode ser ignorado da mesma forma que todos os relacionados ao ponto de montagem podem ser:

• Faça uma cópia do diretório protegido
• Desmonte o diretório
• Mova a cópia no lugar da montaria ou faça um link simbólico se a montaria não tiver espaço suficiente.

Por que não criar uma imagem ISO 9660, que é somente leitura por design?

Monte a imagem ISO e ela se parecerá com um CD-ROM, mas com o desempenho de um disco rígido, e os arquivos na imagem montada estarão tão protegidos contra exclusão quanto os arquivos em um CD-ROM físico.

A ideia de gravar o arquivo confidencial em um CD e executá-lo a partir de um CD-ROM é interessante, supondo que definir o bit imutável no arquivo não seja considerado suficiente.

Existem possíveis problemas negativos ao executá-lo a partir de um CD físico, incluindo desempenho (as unidades de CD-ROM são muito, muito mais lentas que os discos rígidos ou SSDs). Existe a probabilidade de o CD-ROM ser removido por um indivíduo bem-intencionado e substituído por um disco diferente ao qual ele precisa acessar. Existe a probabilidade de uma parte maliciosa simplesmente pegar o disco e jogá-lo no micro-ondas (ou na lixeira), "excluindo" seu arquivo. Existe a inconveniência de ter que ter uma unidade de CD-ROM de hardware dedicada apenas para aquele arquivo e outros fatores.

Mas o OP deixou claro que a intenção principal é proteger contra exclusão acidental, não contra atos maliciosos, e que o (s) arquivo (s) em questão é feito backup e recuperável caso ocorra um acidente, mas é altamente desejável que o arquivo nunca ser excluído acidentalmente.

Parece que executar o arquivo a partir de uma imagem ISO montada satisfaria o requisito.