ฉันต้องการทราบว่าไฟล์ / var / log / wtmp สามารถป้องกันผู้อื่นแก้ไข / ลบมันได้หรือไม่ ฉันสังเกตเห็นว่าการใช้ 'chattr + a / var / log / wtmp' ไม่ทำงาน มีวิธีการป้องกันไฟล์ที่รู้จักหรือไม่?
มีไฟล์สำคัญอื่น ๆ บน Linux อีกหรือไม่ที่ฉันควรพยายามป้องกันการแฮ็กด้วย?
(สิ่งที่ฉันทำมาจนถึงตอนนี้คือการใช้ chattr + a ~ user / .bash_history และ chattr + i / etc / services เท่านั้น)
คำตอบ:
มีวิธีการป้องกันไฟล์ที่รู้จักหรือไม่?
บน distros ส่วนใหญ่ไฟล์นั้นสามารถเขียนได้โดยutmpกลุ่มเท่านั้นซึ่งหมายความว่ามีเพียงบางโปรแกรม (โดยทั่วไปคือเทอร์มินัลอีมูเลเตอร์) สามารถแก้ไขได้ คุณสามารถลบบิต 'setgid' ออกจากทั้งหมดได้ซึ่งจะ จำกัด การแก้ไขโปรแกรมที่รันเป็น root แล้ว (เช่น sshd, / sbin / login, XDM)
มีไฟล์สำคัญอื่น ๆ บน Linux อีกหรือไม่ที่ฉันควรพยายามป้องกันการแฮ็กด้วย?
ให้ syslog daemon ของคุณส่งบันทึกไปยังเครื่องอื่น และปรับปรุงระบบของคุณให้ทันสมัยอยู่เสมอ พิจารณาไฟร์วอลล์, SELinux, AppArmor, grsec
chattr + a ~ user / .bash_history
ไร้ประโยชน์ ผู้ใช้สามารถบอกทุบตีเพื่อเขียนประวัติที่อื่นหรือแม้แต่เรียกใช้เปลือกที่แตกต่างจากทุบตี (สถานที่บางแห่งใส่readonly HISTFILEใน / etc / bashrc นี่ยังง่ายต่อการเดินทาง)
chattr + i / etc / services
ไร้ประโยชน์ /etc/servicesใช้เพื่อวัตถุประสงค์เดียวเท่านั้น: แปลหมายเลขพอร์ตเป็นชื่อบริการและย้อนกลับ (เช่นในnetstatเอาต์พุต); มันจะยากมากในการแก้ไขในลักษณะที่เป็นอันตราย มีไฟล์ที่มีความละเอียดอ่อนมากขึ้นในระบบของคุณรวมถึงเคอร์เนลตัวเองโมดูลเคอร์เนล PAM, sshd, ยูทิลิตี้พื้นฐานเช่นls... (นอกจากนี้เฉพาะ root เท่านั้นที่สามารถแก้ไขไฟล์นั้นได้)