我想知道 /var/log/wtmp 檔案是否可以防止有人修改/刪除它。我注意到使用“chattr +a /var/log/wtmp”不起作用。是否有已知的方法來保護文件?
Linux 上還有其他我應該嘗試防止駭客攻擊的重要檔案嗎?
(到目前為止我所做的只是 chattr +a ~user/.bash_history 和 chattr +i /etc/services。)
答案1
是否有已知的方法來保護文件?
在大多數發行版上,該檔案已經只能由utmp群組寫入,這意味著只有某些程式(通常是終端模擬器)可以編輯它。您甚至可以從所有這些程式中刪除「setgid」位,這將限制已經以 root 身分執行的程式(即 sshd、/sbin/login、XDM)的編輯。
Linux 上還有其他我應該嘗試防止駭客攻擊的重要檔案嗎?
讓您的 syslog 守護程式將日誌傳送到單獨的電腦。另外,請保持您的系統處於最新狀態。考慮防火牆、SELinux、AppArmor、grsec。
chattr +a ~user/.bash_history
無用。使用者可以輕鬆地告訴 bash 在其他地方寫入歷史記錄,甚至運行與 bash 不同的 shell。 (有些地方放在readonly HISTFILE/etc/bashrc 中;這仍然很容易繞過。)
chattr +i /etc/服務
無用。/etc/services僅用於一個目的:將連接埠號碼轉換為服務名稱並傳回(例如在netstat輸出中);惡意修改是非常困難的。您的系統上還有更多敏感文件,包括核心本身、核心模組、PAM、sshd、基本實用程序,例如ls...(此外,只有 root 可以編輯該文件。)