จะทราบได้อย่างไรว่าการเข้าสู่ระบบคอนโซลเป็นของแท้หรือไม่

13

ใน Windows หนึ่งสามารถบังคับใช้การกดCtrl+ Alt+ Delเพื่อเริ่มการขัดจังหวะที่จะเปิดหน้าต่างการเข้าสู่ระบบ

เมื่อเข้าสู่คอนโซลของคอมพิวเตอร์ Linux: ฉันจะบอกได้อย่างไรว่าการเข้าสู่ระบบนี้เป็นของจริงหรือเป็นการล้อเลียนเพื่อขโมยข้อมูลประจำตัวของฉัน

linux security login

— Max Ried
แหล่งที่มา

14

สมมติว่าคุณต้องการได้รับการปกป้องจากผู้ใช้ทั่วไปคนอื่น ๆ ของระบบ (ถ้าฝ่ายตรงข้ามมีการเข้าถึงรูทการเดิมพันทั้งหมดปิด) หลักการของคุณอาจใช้คีย์ความปลอดภัยที่ปลอดภัย :

Secure Attention Key ของระบบปฏิบัติการเป็นเครื่องมือรักษาความปลอดภัยที่ให้ไว้เพื่อป้องกันโปรแกรมจับรหัสผ่านโทรจัน มันเป็นวิธีที่ไม่สามารถเอาชนะได้ในการฆ่าโปรแกรมทั้งหมดซึ่งอาจปลอมแปลงเป็นแอปพลิเคชันเข้าสู่ระบบ ผู้ใช้จำเป็นต้องได้รับการสอนให้ป้อนลำดับคีย์นี้ก่อนที่พวกเขาจะเข้าสู่ระบบ

( Linux 2.4.2 การจัดการ Secure Attention Key (SAK), Andrew Morton, 18 มีนาคม 2544 )

คำถามเกี่ยวกับ U&L นี้อาจเป็นที่สนใจ: ฉันจะค้นหา Secure Attention Key (SAK) ในระบบของฉันได้อย่างไรและฉันจะปิดได้อย่างไร

— dhag
แหล่งที่มา

จะเกิดอะไรขึ้นเมื่อ SAK จะเปิดใช้งานด้วยเซิร์ฟเวอร์ X ที่เปิดอยู่

— Incnis Mrsi

@IncnisMrsi: ฉันได้ลองแล้ว มันน่าจะเป็นประมาณเทียบเท่ากับ Ctrl + Alt + Backspace สมมติว่าคุณยังไม่ได้ปิดการใช้งานที่ ฉันจำได้ว่ามันดูแปลกกว่านี้ แต่ฉันจำไม่ได้ว่ามีอะไรพิเศษ

— Kevin

ฉันกดมันบ่อยๆบน vtty ของฉันและหลังจากนั้นไม่นาน มันรู้สึกบั๊ก แต่ +1 สำหรับ SysRq ที่มีประโยชน์ทุกวัน

— Max Ried

@ เควิน: ดังนั้นหากผู้ใช้รันเซิร์ฟเวอร์ X ที่ถูกต้อง (นั่นคือ euid = 0, อย่างน้อยบนพีซี) บน tty ≠ 7, การตั้งค่าของมันถูกปิดการใช้งาน SAK แล้ว SAK นั้นไม่สามารถเอาชนะได้ในฐานะ สมมติว่า GUI DM ที่จำลองแล้วทำงานอยู่

— Incnis Mrsi

@IncnisMrsi: ฉันคิดว่าสิ่งที่จริงมันคือการฆ่าทุกอย่างในเซสชั่นของคุณและเปิดตัวสิ่งที่ "ถูกต้อง" สิ่งที่อาจจะเป็น ดังนั้นถ้า tty = 7 คุณจะได้ X ใหม่เอี่ยมไม่เช่นนั้นคุณก็จะได้รับloginฯลฯ นี่เป็นเรื่องที่น่ารำคาญเพราะ DEs ที่ชอบอย่าง GNOME ไม่ชอบถูกฆ่าตาย แต่ถ้าผู้โจมตีของคุณมี euid = 0 คุณก็แพ้ไปแล้ว

— เควิน

2

ครั้งแรกของทั้งหมดผมไม่แน่ใจว่าคุณสามารถจะมากกว่าความมั่นใจของCtrl+ Alt+ Delหน้าต่างเข้าสู่ระบบใน Windows นี้ยังเป็นบทบาทของไวรัส / โทรจันจะจี้หยุดชะงักและการดำเนินการเป็นไปได้มาก

ประการที่สองหากกลไกดังกล่าวมีการใช้งานทั้งบน Windows / Linux ก็หมายความว่าสิทธิ์ของผู้ดูแลระบบจะถูกทำลายอย่างแน่นอน

ใน Linux ถ้ามีคนเขียนเชลล์ปลอมขึ้นมาเพื่อแสดงพรอมต์และตรวจสอบข้อมูลประจำตัวของคุณฉันเดาว่าพื้นฐานCtrl+ CหรือCtrl+ Zอาจเพียงพอถ้าสัญญาณเหล่านั้นไม่ถูกจับเพื่อค้นพบเคล็ดลับ การป้อนข้อมูลประจำตัวที่ไม่ถูกต้องหลายครั้งสามารถช่วยให้คุณเห็นความเบี่ยงเบนจากพฤติกรรมการจับเวลาปกติ

การสลับระหว่างคอนโซลที่แตกต่างกันเช่นเพิ่มความน่าจะเป็นที่จะค้นพบเคล็ดลับ

แต่ในกรณีใด ๆ คุณไม่สามารถมั่นใจได้ 100% กับระบบความน่าเชื่อถือของหน้าต่างแจ้งเตือน / หน้าต่างใด ๆ

— netmonk
แหล่งที่มา

0

คุณสามารถใช้ctrl+ alt+ F1... F7เพื่อเข้าไปยัง tty อื่น ๆ และเข้าสู่ระบบจากที่นั่น นอกจากนี้คุณยังสามารถใช้ctrl+ zหรือ+ctrl cอย่างไรก็ตามหากมีคนพยายามขโมยข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณโดยใช้วิธีนี้ก็ยังเป็นไปได้ที่คุณจะถูกโกง ขึ้นอยู่กับระบบปฏิบัติการที่คุณใช้ใครมีสิทธิ์เข้าถึงและเขามีการเข้าถึงแบบไหน

โดยทั่วไปคุณจะไม่แน่ใจ 100% แต่ถ้ามีคนทำเช่นนี้ฉันจะถือว่าเขามีสิทธิ์เข้าถึงรูตแล้ว - ดังนั้นข้อมูลการเข้าสู่ระบบของคุณจะไม่มีความหมายกับเขา

— MatthewRock
แหล่งที่มา

3

ถ้าฉันจะตั้งค่ากับดักแบบนี้ฉันจะให้โปรแกรมของฉันทำงานทุก ๆ โปรดทราบว่าคนที่คุณเข้าถึงด้วยปุ่มควบคุมจะไม่ปลอดภัยกว่าโดยเฉพาะ

— John WH Smith

จุดยุติธรรม นี่คือสิ่งที่ดีที่สุดในใจของฉัน

— MatthewRock

sysrq เวทมนตร์สามารถช่วยคุณได้ไหม?

— Max Ried

0

ผู้ใช้ (แม้ไม่ใช่รูท) ที่มีการเข้าถึงฟิสิคัลคอนโซลสามารถทำกลอุบายดังกล่าวได้

เข้าสู่ระบบsshและตรวจสอบกระบวนการที่ทำงานบนคอนโซลเสมือนที่คุณต้องการเข้าสู่ระบบในเครื่อง ไม่ว่าจะเป็นgetty(สำหรับ TUI tty) หรือเครื่องมือจัดการหน้าจอที่ถูกกฎหมายอื่น ๆ ? มี UID = 0 หรือไม่

หากหนึ่งในสองนั้นเป็นเท็จแบนเนอร์ของชื่อโฮสต์ login:จะถูกปลอมแปลง แต่เป็นคำตอบของรัฐเขียนแล้วก็ไม่ได้ความช่วยเหลือกับผู้กระทำความผิดมี / rootสิทธิพิเศษของเขาและเธอที่เพิ่มขึ้นแล้ว

— Incnis Mrsi
แหล่งที่มา

-1

คำตอบสั้น ๆ : คุณบอกไม่ได้

แต่หากมีการเปลี่ยนคำสั่งล็อกอินของพรอมต์หมายความว่าผู้โจมตีมีการเข้าถึงรูทบนเครื่อง ในกรณีนี้เขา / เธอสามารถทำได้เช่นกัน:

ได้ติดตั้ง keylogger เพื่อขโมยรหัสผ่านของคุณ คุณสามารถบรรเทาปัญหาโดยใช้รหัสผ่านที่ไม่ซ้ำกันดังนั้นผู้โจมตีจะไม่สามารถเข้าถึงบริการออนไลน์อื่น ๆ ที่คุณใช้
เข้าสู่ระบบในฐานะคุณ (หรือในฐานะผู้ใช้รายอื่น) บนเครื่องเพียงแค่เปลี่ยนรหัสผ่านหรือเข้าถึงไฟล์ (หรือของผู้อื่น)

ดังนั้นจึงกังวลว่าการแจ้งเตือนการเข้าสู่ระบบนั้นถูกต้องหรือไม่เป็นจุดที่สงสัย

ตามกฎทั่วไปคุณไม่ควรลงชื่อเข้าใช้เครื่องที่คุณคิดว่าอาจถูกบุกรุก

— dr01
แหล่งที่มา

8

ฉันสามารถออกแบบโปรแกรมที่เลียนแบบพฤติกรรมของพรอมต์การเข้าสู่ระบบและรันในทุก ๆ TTY โดยไม่มีสิทธิ์รูท หากทำอย่างถูกต้องมันจะเป็นไปไม่ได้ที่จะแยกแยะพรอมต์จริงออกจากผลลัพธ์ของโปรแกรมโดยเชิญให้คุณป้อนข้อมูลรับรอง อย่างไรก็ตามโปรดทราบว่าจะต้องใช้สิทธิ์รูทเพื่อรับรองความถูกต้องของคุณ (ทำให้กับดักโปร่งใสอย่างสมบูรณ์) ดังนั้นหากการเข้าสู่ระบบล้มเหลวและคุณแน่ใจว่าคุณไม่ได้พิมพ์ผิด ... คุณอาจคิดว่าคุณถูกดัก (เช่นกัน แม้ว่าจะช้า)

— John WH Smith

6

คุณไม่ได้ติดตั้ง คุณเพียงแค่ใช้บัญชีของคุณเองเพื่อลงชื่อเข้าใช้เทอร์มินัลทุกเครื่องและรันการเข้าสู่ระบบปลอมที่นั่น ผู้ใช้ที่พยายามใช้เทอร์มินัลหลังจากนั้นจะพบพรอมต์ปลอมของคุณทำงานในฐานะคุณไม่ใช่loginโปรแกรมที่ทำงานในฐานะรูท ฉันไม่ได้สมมติว่าloginโปรแกรมที่แท้จริงได้รับการประนีประนอมแน่นอน

— John WH Smith

7

@ dr01 เข้าสู่ระบบตามปกติ เมื่อคุณพร้อมที่จะเริ่ม~/bin/fakeloginใช้งานexec ~/bin/fakeloginเพื่อให้เมื่อมันออก (ไม่ว่าด้วยเหตุผลใดก็ตาม) บัญชีผู้ใช้ของคุณจะถูกออกจากระบบและพร้อมท์การล็อกอินจริงที่แสดงให้ผู้ใช้รายอื่น

— roaima

3

โดยปกติเมื่อคุณพยายามขโมยรหัสผ่านในการแจ้งให้คุณบันทึกและเขียน "เข้าสู่ระบบไม่ถูกต้อง" จากนั้นออกจากโปรแกรมของคุณ $euid=0ดังนั้นไม่จำเป็นที่จะต้องตรวจสอบการใช้

— Ned64

1

ทำไมต้องลงคะแนน?

— dr01