Я хотел узнать, можно ли защитить файл /var/log/wtmp от изменения/удаления кем-либо. Я заметил, что использование 'chattr +a /var/log/wtmp' не работает. Существуют ли известные методы защиты файла?
Есть ли еще какие-то важные файлы в Linux, которые мне следует попытаться защитить от взлома?
(До сих пор я делал только chattr +a ~user/.bash_history и chattr +i /etc/services.)
решение1
Существуют ли известные методы защиты файла?
В большинстве дистрибутивов файл уже доступен для записи только группе utmp, что означает, что редактировать его могут только определенные программы (обычно эмуляторы терминала). Вы даже можете удалить бит 'setgid' из всех них, что ограничит редактирование программами, которые уже запущены как root (т. е. sshd, /sbin/login, XDM).
Есть ли еще какие-то важные файлы в Linux, которые мне следует попытаться защитить от взлома?
Пусть ваш демон syslog отправляет логи на отдельную машину. Также поддерживайте свою систему в актуальном состоянии. Рассмотрите возможность использования брандмауэра, SELinux, AppArmor, grsec.
chattr +a ~пользователь/.bash_history
Бесполезно. Пользователь может легко сказать bash записать историю в другое место или даже запустить другую оболочку, нежели bash. (Некоторые места помещают readonly HISTFILE/etc/bashrc; это все еще очень легко обойти.)
chattr +i /etc/services
Бесполезно. /etc/servicesиспользуется только для одной цели: перевода номеров портов в имена служб и обратно (например, в netstatвыходных данных); его будет очень сложно изменить вредоносным образом. В вашей системе есть гораздо более важные файлы, включая само ядро, модули ядра, PAM, sshd, основные утилиты, такие как ls... (Кроме того, только root может редактировать этот файл в любом случае.)