Eu queria saber se o arquivo /var/log/wtmp pode ser protegido contra alguém que o modifique/exclua. Percebo que usar 'chattr +a /var/log/wtmp' não funciona. Existem métodos conhecidos para proteger o arquivo?
Existem outros arquivos importantes no Linux que eu também deveria tentar proteger contra hackers?
(O que fiz até agora foi apenas chattr +a ~user/.bash_history e chattr +i /etc/services.)
Responder1
Existem métodos conhecidos para proteger o arquivo?
Na maioria das distros, o arquivo já pode ser gravado apenas pelo utmpgrupo, o que significa que apenas alguns programas (geralmente emuladores de terminal) podem editá-lo. Você pode até remover o bit 'setgid' de todos eles, o que limitaria a edição a programas que já rodam como root (ou seja, sshd, /sbin/login, XDM).
Existem outros arquivos importantes no Linux que eu também deveria tentar proteger contra hackers?
Faça com que seu daemon syslog envie logs para uma máquina separada. Além disso, mantenha seu sistema atualizado. Considere um firewall, SELinux, AppArmor, grsec.
chattr +a ~user/.bash_history
Inútil. O usuário poderia facilmente dizer ao bash para escrever o histórico em outro lugar ou até mesmo executar um shell diferente do bash. (Alguns lugares colocam readonly HISTFILE/etc/bashrc; isso ainda é muito fácil de contornar.)
chattr +i /etc/services
Inútil. /etc/servicesé usado apenas para um propósito: traduzir números de porta em nomes de serviço e vice-versa (por exemplo, na netstatsaída); seria muito difícil modificar de forma maliciosa. Existem arquivos muito mais confidenciais em seu sistema, incluindo o próprio kernel, módulos do kernel, PAM, sshd, utilitários básicos como ls... (Além disso, apenas o root pode editar esse arquivo de qualquer maneira).