Я должен доставить свой ПК в сервис, потому что иногда система зависает и неожиданно перезагружается без какой-либо причины. В любом случае, я создам тестового пользователя, если он хочет запустить компьютер. Более того, я думаю о том, чтобы проверить файловую систему до того, как я ее принес, и после того, как я верну свой компьютер. Я думал о "#ls -alR> before.txt" из корневого каталога. После того, как я верну свой компьютер, я сделаю то же самое и сравню оба файла командой "diff" (возможно, они пытались установить какую-то хрень). Есть ли лучшее решение для этого?
2 ответа
ls -lR /
только скажет вам, что делает ремонтная служба, даже не пытаясь скрыть свои следы. Если они хотят установить троянского коня, они просто используют нестандартные инструменты, которые не используют обычные каналы для доступа к файловой системе.
Вы также должны запустить find / -xdev -type f -exec sha512sum {} + >before-checksums.txt
. Это хранит криптографическую контрольную сумму каждого обычного файла. Если служба ремонта изменяет файлы, она будет отображаться на контрольных суммах. Загрузочный сектор также уязвим; сохраните его копию, а также первый сектор каждого раздела: for x in /dev/sda*; do head -c 512 <"$x" >"${x##*/}.sector1"
.
Даже это не может быть защитой от действительно решительного и знающего злоумышленника. Криптографическая контрольная сумма всего диска была бы, но она просто не соответствовала бы, если бы они выполняли всего лишь загрузку с диска (что обновляло бы время последнего монтирования файловой системы, записывало некоторые записи журнала и так далее).
Когда вы извлекаете компьютер, убедитесь, что вы загружаетесь с живого CD/USB, а не с системы, которую вы возвращаете, поскольку, если система была руткитной, ядро, скорее всего, сообщит об оригинальных версиях файлов, а не о фактическом содержимом диска (но будет использовать содержимое диска для установки какого-либо бэкдора во время загрузки).
Конечно, если они решат прочитать какие-либо личные данные на диске, вы не узнаете.
Почему бы тебе просто не вынуть диск?
(И надеюсь, что они не установят троянскую прошивку, например, на материнскую плату (BIOS) или на сетевую карту.)
Если под "решением" вы имеете в виду «очистить мою систему после того, как я верну ее из службы», было бы разумно подумать о создании образа и его восстановлении впоследствии - таким образом, вы будете уверены, что он находится в том состоянии, в котором вы его оставили. ,
Кроме того, вы упоминаете установку - если вы сделаете этого пользователя не-sudo, они не смогут ничего установить в любом случае.
Метод, который вы предложили, должен хорошо работать в противном случае.