Может одно изменение содержание внутри auth.log
? Я считал, что хакер может изменить его так, чтобы не было никакой трассировки, но я не нашел определенный ответ или что-либо, что объяснит или покажет знаки вмешательства.
/var/log/auth.log
принадлежит syslog:adm
, с разрешением 0640
, так:
syslog
может записать в файлsyslog
и любой член группы adm
может считать содержание файлаТак, поскольку Вы видите, что только способ измениться т.е. записать в файл к:
syslog
root
кто может сделать что-либо где угодно в системеЧтобы посторонний/взломщик ворвался и изменил файл журнала, им нужны необходимые полномочия, любят упомянутый выше.
Например, они могли использовать полномочие escation уязвимость, атака "нулевого дня" (зависит от целевого значения главным образом), или простое принуждение скота пароля или что-то еще в целом для входа как привилегированный пользователь.
Если они могут войти, у Вас есть более важные вещи волноваться о, чем изменение содержания любого файла журнала. В сущности это больше не будет Вашим компьютером.
Каждый файл имеет определенный набор прав доступа, связанных с ним.
Файл /var/log/auth.log
файл может быть изменен только при наличии root
полномочия а не обычным пользователем. Так, для хакера или взломщика, который хочет изменить содержание этого файла для вытирания трассировок его действия, которое он должен иметь root
полномочия.
Он следовательно попытается использовать некоторые нападения расширения полномочий путем использования известной и неисправленной уязвимости или с некоторой новой неизвестной уязвимостью нулевого дня.