Busindre

User Tools

Site Tools

Trace: redirigir_logs_de_journal_a_un_fichero historial_en_bash_sin_perder_comandos visualizar_sockets_en_entornos_docker crear_y_firmar_csrs_multidominio_san ssh_reverso_para_evitar_nat_firewall optimizacion_de_memoria_ram_en_linux guia_rapida_y_completa_de_apt_y_dpkg guia_rapida_y_completa_de_yum_y_rpm concatenar_proxies_tor_usando_socat comando_stat_access_modify_change
comando_stat_access_modify_change

This is an old revision of the document!

Entendiendo los timestamps de ficheros en Linux (Acceso / Modificación / Cambio / Creación)

Entender las diferentes marcas de tiempo de los ficheros en Linux es algo básico para su administración, ya que son usados por infinidad de comandos para poder filtrar y encontrar determinados archivos y carpetas. 

stat fichero.pdf
  File: `fichero.pdf'
  Size: 921599          Blocks: 1800       IO Block: 4096   regular file
Device: 91a1h/37281d    Inode: 2728917     Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2009-04-03 21:40:42.767849143 +0200
Modify: 2009-04-03 21:40:14.665837796 +0200
Change: 2009-05-15 16:41:42.727736900 +0200
 Birth: -

Access / Acceso (atime): Fecha del ultimo acceso, el cual puede ser realizado por las llamadas al sistema mknod(2), utimes(2) / utimensat(2) y read(2). Algunas distribuciones desactivan la actualización de esta información para evitar operaciones de entrada y salida (fstab: noatime,nodiratime,etc)

Modify / Modificación (mtime): Fecha de la última modificación, que pudo ser ocasionada por las llamadas sl sistema mknod(2), utimes(2) / utimensat(2) y write(2). Comandos como “stat” “ls -l” o “date -r” muestran la fecha de modificación de un fichero.

Change / Cambio (ctime): Fecha de la ultima modificación del inodo (metadatos), ocasionado por las llamada al sistema chmod(2), chown(2), link(2), mknod(2), rename(2), unlink(2), utimes(2) / utimensat(2) y write(2).

Birth / Creación (crtime): La fecha de creación de un fichero antiguamente no se podía visualizar con el comando stat (Birth: - (leer)), pero actualmente dependiendo de la versión del sistema sí es factible. Si se está usando un sistema antiguo puede utilizarse debugfs para obtener dicha fecha de creación, veamos un ejemplo usando LVM. 

debugfs -R 'stat /home/maria/fichero' /dev/mapper/Volgroup00-lv_root
debugfs 0.92.13 (15-May-2008)
Inode: 269835   Type: regular    Mode:  0644   Flags: 0x80000
Generation: 2264140096    Version: 0x00000000:00000001
User:     0   Group:     0   Size: 0
File ACL: 0    Directory ACL: 0
Links: 1   Blockcount: 0
Fragment:  Address: 0    Number: 0    Size: 0
 ctime: 0x57225282:ad2d99c0 -- Thu Apr 28 20:12:18 2009
 atime: 0x57225195:32e9e720 -- Thu Apr 28 20:08:21 2009
 mtime: 0x57225282:ad2d99c0 -- Thu Apr 28 20:12:18 2009
crtime: 0x57225195:32e9e720 -- Thu Apr 28 10:01:21 2008
Size of extra inode fields: 32
EXTENTS:

Usando el inodo del fichero / directorio en vez de la ruta al fichero (Versiones antiguas de debugfs). 

ls -i /home/maria/fichero 
267850 /home/maria/fichero
 
debugfs -R 'stat <267850>' /dev/mapper/Volgroup00-lv_root

NOTA: Los timestamps de creación y cambio en Linux no pueden ser modificados a fecha de hoy.

Uso del comando ls para ordenar y visualizar las fechas de acceso, modificación y cambios de ficheros / directorios. 

ls -ltu  # Visualiza y ordena por la fecha del último acceso (atime).
ls -lt   # Visualiza y ordena por fecha de la ultima modificación (mtime).
lt -ltc  # Visualiza y ordena por fecha del último cambio (ctime).
# NOTA: Sin la "t", usando solo la opción "l", siempre se ordena por nombre. (-h es recomendable para leer el mejor el tamaño de los archivos con ls)

Modificar las fechas de acceso / modificación de un fichero con touch (man touch). 

 # Modifica los estados de acceso (-a), modificación (-m) por la fecha actual.
touch fichero
# NOTA: Se puede utilizar indistintamente -a, --time=atime, --time=access, --time=use
 
# Copiar las marcas de tiempo de otro fichero tomado como referencia.
# NOTA: Los timestamps de "creación" y "cambio" no pueden ser modificados a fecha de este artículo en sistemas GNU/Linux. Mirar el hack del siguiente apartado.
touch fichero -r fichero_referencia.txt # Se puede utilizar -a y -m si solo interesa copiar "atime" o "mtime".
 
# Si el archivo llamado "fichero" existe, actualiza los timestamp que tenga, en caso contrario no crea el fichero.
touch -c fichero
 
# Especificar una fecha en concreto (-t / -d).
touch -t 201408121510.59 fichero        # 12-08-2014 a las 15:10:59
touch -d 11am fichero                   # 11 de la mañana de hoy.
touch -d "last fortnight" fichero       # 15 días atrás.
touch -d "yesterday 6am" fichero        # Ayer a las 6 de la mañana.
touch -d "380 days ago 12:00" fichero   # Hace 380 días a las 12:00.
touch -d "tomorrow 02:00" fichero       # Ayer a las 02:00.
touch -d "5 Nov" fichero                # 5 de Noviembre de este año.

NOTA: El timestamp de “Change” (Cambio) es modificado a la vez que se cambia la fecha de último acceso o de la última modificación.

Hack para falsear de manera aproximada la fecha de creación/change de un fichero

No es factible cambiar los timestamps de change y birth en sistemas Linux sin cambiar la fecha del sistema. El cambiar la fecha del sistema hace que se dependa de la velocidad de procesamiento ya que el comando stat nos muestra hasta el nanosegundo. Es decir, en ese nanosrgundo deben realizarse todas las acciones. Un nanosegundo es la duración de un ciclo de reloj de un microprocesador de 1 GHz.

En este ejemplo se clonarán los tres timestamps de un “fichero_referente” a otro denominado “fichero_hack”, incluyendo la fecha de cambio.

Sin campo Birth. 

# Fechas del fichero_hack y fichero referente.
 
  File: 'fichero_hack'
Access: 2019-08-07 23:27:47.204914004 +0200
Modify: 2019-08-07 23:27:47.204914004 +0200
Change: 2019-08-07 23:28:08.819620381 +0200
 Birth: -
 
  File: 'fichero_referente'
Access: 2019-08-07 17:43:13.535171587 +0200
Modify: 2018-07-31 17:00:12.000000000 +0200
Change: 2020-08-30 08:23:20.682000046 +0200
 Birth: -
 
# Se clonan los timestamps de acceso y modificación en la fecha exacta de "cambio" del fichero.
date --set="2020-08-30 08:23:20.682000046"; touch fichero_hack -r fichero_referente
 
  File: 'fichero_hack'
Access: 2019-08-07 17:43:13.535171587 +0200
Modify: 2018-07-31 17:00:12.000000000 +0200
Change: 2020-08-30 08:23:20.682000046 +0200
 Birth: -
 
  File: 'fichero_referente'
Access: 2019-08-07 17:43:13.535171587 +0200
Modify: 2018-07-31 17:00:12.000000000 +0200
Change: 2020-08-30 08:23:20.682000046 +0200
 Birth: -

Con el campo “Birth” visualizable habría que hacer un paso más en comparación con el anterior, es decir, crear el fichero en una fecha concreta. 

# Se crea el fichero filehack mediante una copia de un fichero en la fecha de creación del fichero_referente.
# Si el campo Birth del fichero referencia es 2012-03-30 08:23:20.622000046:
date --set="2012-03-30 08:23:20.622000046"; cp file file_hack
 
# Con eso actualmente file_hack ya tendrá dicha fecha de creación. Ahora simplemente se debe proceder como en el caso anterior para cambiar Access, Modify y Change.

NOTA: Recordar que depende de la capacidad de procesamiento pueden encontrarse diferencias en los nanosegundos. Si se opera varias veces el mismo comando y siempre se obtiene la misma diferencia de tiempo con el fichero referencia, se puede hacer una simple resta para ir unos nanosegundos más al pasado e intentar compensar.

comando_stat_access_modify_change.1660039714.txt.gz · Last modified: 2022/08/09 12:08 by busindre