Wozu werden Zeitstempel für Dateisystemzugriffe verwendet?

470
Boann

Ich schalte die Zeitstempel für den letzten Zugriff immer aus, um die Leistung zu verbessern, und ehrlich gesagt für die Privatsphäre. In Windows und Linux scheint es jedoch, dass sie standardmäßig als Funktion aktiviert sind. Ich nehme an, es muss etwas verwendet werden.

Zu welchem ​​speziellen Zweck wurden Zugriffszeitstempel erfunden und dann als nützlich erachtet, um die Aufnahme in Betriebssystemkernel und Dateisysteme zu rechtfertigen? Sind sie heute noch nützlich oder nur historischer Scheißer?

"In erster Linie nach Meinung", ja richtig. Wo habe ich nach einer Meinung gefragt? Ich bin an realen Anwendungsbeispielen interessiert, an denen sie verwendet werden, an historischen Begründungen / Diskussionen, wenn sie überhaupt hinzugefügt wurden, oder an deren Fehlen, wenn sie tatsächlich unbrauchbar sind. Ich denke, für manche Leute, die nach Gründen suchen, um Fragen zu schließen, wirkt wie eine Errungenschaft, ohne wirklichen Aufwand.

-2

2 Antworten auf die Frage

2
blihp

Sie können in bestimmten Situationen nützlich sein (informelle Prüfung, Archivierung), aber es ist üblich, auf Linux bei (deaktivieren noatime ) oder zumindest zu minimieren ( relatime ), die Verwendung von es in den meisten Fällen aufgrund Leistung und / oder Bedenken hinsichtlich der Privatsphäre . Oft sind mtime (Änderungszeit) und ctime (Änderungszeit) die nützlicheren Zeitstempel.

Neben dem Performance-Overhead macht es oft weniger nützlich, dass sowohl Ihr Betriebssystem als auch häufig verwendete Tools (Sicherungsprogramme usw.) viele Dateien berühren, die sonst von Benutzern nicht verwendet werden. Sofern sie nicht dazu beitragen, Aktualisierungen zu vermeiden, kann die Verwendung für Prüfprotokolle oder die Archivierung unbrauchbar werden, wenn häufig automatisierte Aufgaben dazu führen, dass Atime aktualisiert wird.

[1] In vielen Prüfungssituationen wäre die Möglichkeit, eine Aktualisierung zu vermeiden, für die Prüfer eine rote Fahne, da schon die Tatsache, dass sie umgangen werden könnte, sie für ungültig erklären würde. Ein böswilliger Akteur könnte also dieselben Funktionen verwenden, um eine Erkennung zu vermeiden.

Prüfung? Bedeutet das wie Einbruchserkennung? Boann vor 6 Jahren 0
@Boann ja, das wäre die Hauptmethode, um zu versuchen, sie zu verwenden, die ich mir vorstellen kann (aber es ist ein sehr schwacher Anwendungsfall, da Sie nicht wissen, wer auf die Datei zugegriffen hat, sondern nur, dass darauf zugegriffen wurde). blihp vor 6 Jahren 0
Es ist also nicht sehr nützlich. Boann vor 6 Jahren 0
Nicht schrecklich, weshalb es üblich ist, sie zu deaktivieren blihp vor 6 Jahren 1
1
Don Simon

Viele Computer werden in Geschäftsumgebungen eingesetzt, nicht zu Hause. Die meisten Unternehmen haben sowohl rechtliche als auch praktische Anforderungen, um sicherzustellen, dass Daten überprüfbar sind.

Sie sind auch bei der Verwaltung des Dateisystems, des Cache-Speichers und der Sicherungsprozesse hilfreich.

Heck, sie sind nützlich, wenn Sie 3 Dokumente mit ähnlichen Namen geschrieben haben und sich nicht erinnern, an welches zuletzt gearbeitet wurde.

"Sie sind auch hilfreich bei der Verwaltung des Dateisystems, der Zwischenspeicherung und der Sicherungsprozesse." Aber nützlich wie? Boann vor 6 Jahren 0
Viele Dateisysteme optimieren die physische Organisation einer Festplatte basierend auf der Häufigkeit, mit der auf ein bestimmtes Datenelement zugegriffen wird. Cache verwendet die Daten ähnlich. Wenn Sie sich einen Moment Zeit nehmen, um über die Funktionsweise dieser Systeme nachzudenken, ist es leicht zu verstehen, warum die Zeitmessung unerlässlich ist. Es gibt keine Privatsphäre, die durch das Deaktivieren der Privatsphäre erlangt wird. Wenn jemand nachverfolgen möchte, welche Dateien Sie sich angesehen haben, gibt es eine Vielzahl alternativer forensischer Methoden. Don Simon vor 6 Jahren 0
Ich habe noch nie von diesen "vielen Dateisystemen" oder Caches gehört, die dies tun. Boann vor 6 Jahren 0

Verwandte Probleme