Я хотел знать, можно ли защитить файл /var /log /wtmp от тех, кто его модифицирует / удаляет. Я заметил, что использование 'chattr +a /var /log /wtmp' не работает. Существуют ли известные способы защиты файла?
Есть ли в Linux какие-то другие важные файлы, которые я также должен попытаться защитить от взлома?
(То, что я делал до сих пор, это только для chattr +~ user/.bash_history и chattr +i /etc /services.)
Существуют ли известные способы защиты файла?
На большинстве дистрибутивов файл уже доступен для записи только группе utmp , что означает, что редактировать его могут только определенные программы (обычно эмуляторы терминала). Вы можете даже удалить бит 'setgid' из всех них, что ограничит редактирование программами, которые уже запускаются от имени пользователя root (например, sshd, /sbin /login, XDM).
Есть ли в Linux какие-то другие важные файлы, которые я также должен попытаться защитить от взлома?
Пусть ваш демон syslog отправляет журналы на отдельную машину. Кроме того, обновляйте свою систему. Рассмотрим брандмауэр, SELinux, AppArmor, grsec.
chattr + пользователь /.bash_history
Бесполезный. Пользователь может легко сказать bash написать историю в другом месте или даже запустить оболочку, отличную от bash. (В некоторых местах readonly HISTFILE в /etc /bashrc; все еще очень легко обойти.
chattr +i /etc /services
Бесполезный. /etc/services используется только для одной цели: перевод номеров портов в имена служб и обратно (например, в выводе netstat ); это было бы очень трудно изменить злонамеренным способом. В вашей системе гораздо более чувствительные файлы, включая само ядро, модули ядра, PAM, sshd, базовые утилиты, такие как ls ... (Кроме того, только root может редактировать этот файл.)
