Quería saber si el archivo /var/log/wtmp se puede proteger contra alguien que lo modifique o elimine. Noto que usar 'chattr +a /var/log/wtmp' no funciona. ¿Existen métodos conocidos para proteger el archivo?
¿Hay otros archivos importantes en Linux que también debería intentar proteger contra la piratería?
(Lo que he hecho hasta ahora es solo chattr +a ~user/.bash_history y chattr +i /etc/services.)
Respuesta1
¿Existen métodos conocidos para proteger el archivo?
En la mayoría de las distribuciones, solo el grupo puede escribir en el archivo utmp, lo que significa que solo ciertos programas (generalmente emuladores de terminal) pueden editarlo. Incluso podría eliminar el bit 'setgid' de todos ellos, lo que limitaría la edición a programas que ya se ejecutan como root (es decir, sshd, /sbin/login, XDM).
¿Hay otros archivos importantes en Linux que también debería intentar proteger contra la piratería?
Haga que su demonio syslog envíe registros a una máquina separada. Además, mantenga su sistema actualizado. Considere un firewall, SELinux, AppArmor, grsec.
chattr +a ~usuario/.bash_history
Inútil. El usuario podría fácilmente decirle a bash que escriba el historial en otro lugar, o incluso ejecutar un shell diferente al de bash. (Algunos lugares incluyen readonly HISTFILE/etc/bashrc; esto sigue siendo muy fácil de sortear).
chattr +i /etc/servicios
Inútil. /etc/servicessólo se utiliza para un propósito: traducir números de puerto a nombres de servicios y viceversa (por ejemplo, en netstatla salida); Sería muy difícil modificarlo de forma maliciosa. Hay archivos mucho más confidenciales en su sistema, incluido el kernel mismo, los módulos del kernel, PAM, sshd, utilidades básicas como ls... (Además, de todos modos, solo el root puede editar ese archivo).