Там какой-либо путь состоит в том, чтобы зарегистрировать операции, выполненные пользователем (другой суперпользователь)?
Я исследовал возможности с командой Touch, в то время как я создал следующую ситуацию в своем уме.
Предположим, что существуют или суперпользователи двух администраторов (Пользователь A и Пользователь B) Машины/Сервера.
UserB выполняет злонамеренные операции, в этом случае давайте полагать, что Пользователь B изменяет использование подписей файла
touchкоманда.
Вопросы
Как Пользователь A может определить эти модификации?
Если существует только один администратор, и его система поставлена под угрозу. Как для администратора возможно обнаружить злонамеренные операции.
Один возможный подход для обнаружения такого проникновения к журналам системы контроля, но что, если злоумышленник/взломщик так или иначе изменил системные журналы.
3 ответа
Можно попытаться использовать auditd для входа доступа к файлам (и больше), но если взломщик получает доступ к машине как суперпользователь, то возможно, что все журналы и трассировки вытерты без любого способа обнаружить его.
Одно возможное смягчение должно включить удаленный вход (по сети) или использовать некоторые другие аппаратные средства, которые позволяют добавлять данные только без способности перезаписать материал.
, Если Вы подозреваете компромисс и хотите исследовать его, Вы вводите область судебной экспертизы. В зависимости от небрежности взломщика это может успешно выполниться или перестать работать. В качестве примера можно привести упущение удалить .bash_history или файлы журнала и удаление файлов, не уничтожая его.
Вы упоминаете "подпись файла", но "затрагиваете", только изменяет метаданные файла. Они хранятся в определенном для файловой системы формате на устройстве базового диска. Обычно непривилегированные программы не могут непосредственно изменить устройство базового диска. Вместо этого они общаются с ядром с помощью системные вызовы и запрашивают модификации к файловой системе (которые затем распространяют изменения в базовом диске). Видеть, какие системные вызовы использование программы, можно использовать программа strace . Например, strace touch x дает мне:
...
open("x", O_WRONLY|O_CREAT|O_NOCTTY|O_NONBLOCK, 0666) = 3
dup2(3, 0) = 0
close(3) = 0
utimensat(0, NULL, NULL, 0) = 0
...
Здесь Вы видите, что open системный вызов передается путь и возвращает дескриптор файла. Позже, этот filedescriptor привык в вызове к utimensat системный вызов, который изменяет метку времени файла. Все эти действия могут быть зарегистрированы контрольным демоном, описанным прежде, и конечно результаты могут наблюдаться из-за изменений в файловой системе. Если Вы роете достаточно глубоко, можно найти доказательство этого действия, но затем Вы действительно полагаетесь на креативность судебной экспертизы.
Вы могли использовать ПОМОЩНИК , основанная на хосте система обнаружения проникновения (HIDS) для проверки целостности файлов с подписью. Это, как говорят, может сохранить mtime, ctime и atime каждого файла. Таким образом, Ваш пример покрыт.
, Конечно, Вы могли бы хотеть сохранить результат ПОМОЩНИКА, удаленного так, чтобы ничто не могло быть умерено с результатом.
я уверен, что существует другой HIDS, которые предлагают подобную основанную на подписи функцию: http://www.la-samhna.de/library/scanners.html
Если кому-то удается получить корневой доступ, они могут сделать то, что они хотят, включая удаление всех трассировок их действия.
Извините, но единственная вещь Вы можете и должны сделать, должен защитить Ваш root/sudo пароль (пароли).