Ich wollte wissen, ob die Datei /var/log/wtmp vor Änderungen/Löschungen geschützt werden kann. Mir ist aufgefallen, dass die Verwendung von „chattr +a /var/log/wtmp“ nicht funktioniert. Gibt es bekannte Methoden zum Schutz der Datei?
Gibt es noch andere wichtige Dateien unter Linux, die ich ebenfalls vor Hackerangriffen schützen sollte?
(Was ich bisher gemacht habe, ist nur chattr +a ~user/.bash_history und chattr +i /etc/services.)
Antwort1
Gibt es bekannte Methoden zum Schutz der Datei?
Bei den meisten Distributionen ist die Datei bereits nur von der utmpGruppe beschreibbar, was bedeutet, dass nur bestimmte Programme (normalerweise Terminalemulatoren) sie bearbeiten können. Sie könnten sogar das „setgid“-Bit aus allen entfernen, was die Bearbeitung auf Programme beschränken würde, die bereits als Root ausgeführt werden (z. B. sshd, /sbin/login, XDM).
Gibt es noch andere wichtige Dateien unter Linux, die ich ebenfalls vor Hackerangriffen schützen sollte?
Lassen Sie Ihren Syslog-Daemon Protokolle an eine separate Maschine senden. Halten Sie Ihr System außerdem auf dem neuesten Stand. Erwägen Sie den Einsatz einer Firewall, SELinux, AppArmor, grsec.
chattr +a ~Benutzer/.bash_history
Nutzlos. Der Benutzer könnte Bash einfach anweisen, den Verlauf woanders zu schreiben oder sogar eine andere Shell als Bash auszuführen. (An manchen Stellen wird readonly HISTFILE/etc/bashrc verwendet; das lässt sich immer noch sehr leicht umgehen.)
chattr +i /etc/dienste
Nutzlos. /etc/serviceswird nur für einen Zweck verwendet: Portnummern in Dienstnamen und umgekehrt zu übersetzen (z. B. in netstatder Ausgabe); es wäre sehr schwer, es in böswilliger Weise zu ändern. Es gibt viel sensiblere Dateien auf Ihrem System, einschließlich des Kernels selbst, Kernelmodule, PAM, sshd, grundlegende Dienstprogramme wie ls... (Außerdem kann nur root diese Datei sowieso bearbeiten.)