/var/log/wtmp 파일을 누군가가 수정/삭제하는 것으로부터 보호할 수 있는지 알고 싶었습니다. 'chattr +a /var/log/wtmp'를 사용하면 작동하지 않는 것으로 나타났습니다. 파일을 보호하는 알려진 방법이 있습니까?
해킹으로부터 보호해야 하는 다른 중요한 파일이 Linux에 있습니까?
(지금까지 제가 한 일은 chattr +a ~user/.bash_history 와 chattr +i /etc/services 뿐입니다.)
답변1
파일을 보호하는 알려진 방법이 있습니까?
대부분의 배포판에서는 이미 그룹에서만 파일을 쓸 수 있습니다 utmp. 즉, 특정 프로그램(일반적으로 터미널 에뮬레이터)만 파일을 편집할 수 있습니다. 모든 항목에서 'setgid' 비트를 제거할 수도 있습니다. 그러면 이미 루트로 실행 중인 프로그램(예: sshd, /sbin/login, XDM)에 대한 편집이 제한됩니다.
해킹으로부터 보호해야 하는 다른 중요한 파일이 Linux에 있습니까?
syslog 데몬이 로그를 별도의 시스템으로 보내도록 합니다. 또한 시스템을 최신 상태로 유지하십시오. 방화벽, SELinux, AppArmor, grsec을 고려하십시오.
chattr +a ~user/.bash_history
쓸모 없는. 사용자는 bash에게 다른 곳에 기록을 쓰거나 bash와 다른 쉘을 실행하도록 쉽게 지시할 수 있습니다. (어떤 곳은 readonly HISTFILE/etc/bashrc에 넣어두는데, 여전히 돌아다니기가 매우 쉽습니다.)
chattr +i /etc/services
쓸모 없는. /etc/services한 가지 목적으로만 사용됩니다: 포트 번호를 서비스 이름으로 변환하거나 그 반대로 변환(예: netstat출력에서); 악의적인 방법으로 수정하는 것은 매우 어려울 것입니다. 커널 자체, 커널 모듈, PAM, sshd, 다음과 같은 기본 유틸리티를 포함하여 시스템에는 훨씬 더 민감한 파일이 있습니다. ls(게다가 루트만 해당 파일을 편집할 수 있습니다.)