/var/log/wtmp ファイルを、誰かが変更したり削除したりするのを防ぐことができるかどうか知りたいです。 'chattr +a /var/log/wtmp' を使用しても機能しないことに気づきました。 ファイルを保護する既知の方法はありますか?
Linux 上でハッキングから保護する必要がある他の重要なファイルはありますか?
(これまで実行したのは、chattr +a ~user/.bash_history と chattr +i /etc/services だけです。)
答え1
ファイルを保護する既知の方法はありますか?
ほとんどのディストリビューションでは、ファイルはグループによってのみ書き込み可能になっていますutmp。つまり、特定のプログラム (通常は端末エミュレータ) だけがファイルを編集できます。すべてのプログラムから 'setgid' ビットを削除して、編集を root として実行されているプログラム (sshd、/sbin/login、XDM など) に制限することもできます。
Linux 上でハッキングから保護する必要がある他の重要なファイルはありますか?
syslog デーモンがログを別のマシンに送信するようにします。また、システムを最新の状態に維持します。ファイアウォール、SELinux、AppArmor、grsec を検討してください。
チャット +a ~user/.bash_history
役に立たない。ユーザーは、bash に履歴を他の場所に書き込むように簡単に指示したり、bash とは別のシェルを実行したりすることができます。( readonly HISTFILE/etc/bashrc に配置する場所もありますが、これは依然として簡単に回避できます。)
チャット +i /etc/services
役に立たない。/etc/servicesポート番号をサービス名に変換したり、その逆を行ったりする (出力などnetstat) という 1 つの目的にのみ使用されます。悪意を持って変更するのは非常に困難です。システムには、カーネル自体、カーネル モジュール、PAM、sshd、基本的なユーティリティなど、より機密性の高いファイルが多数ありますls(その上、そのファイルを編集できるのは root だけです)。