Какие существуют способы полностью скрыть от пользователей файлы в системе?

другой процесс от имену рута, который данную систему пройти не сможет, даже будучи рутом, ничего поделать не сможет?

если администратором безопасности у него будут отобраны права по MAC - не сможет

Т.е. {случайный/закономерный} апдейт ядра мы не рассматриваем? Ну ок проехали. И да откуда ВНЕЗАПНО: «сервера», «продакшын» ? Либо вопросы задавай как положено либо не отбрасывай любые варианты в рамках заданного вопроса. А так как рамок ты не задал вовсе… Да и вообще на лично мой взгляд теме самое место в толксах.

Если физ. доступ есть - не спасет ничего

Об том и речь. Главное в этом случае это было бы желание.

И да откуда ВНЕЗАПНО: «сервера», «продакшын» ? Либо вопросы >задавай как положено либо не отбрасывай любые варианты в рамках >заданного вопроса.

Никто ничего не отбрасывает. Только уточняю, но в рамках и контексте уже вашего непосредственного ответа, с целью развития и углубления сути вопроса, по необходимости конечно))) Не вижу противоречий.

А так как рамок ты не задал вовсе… Да и вообще на лично мой >взгляд теме самое место в толксах.

Верно, изначально не задал, но в рамках уже вашего ответа, конекретизировал часть вопроса с целью развить некоторые ее составляющие.

Ему место именно тут, в этом раздере. Но если модераторы или администраторы сайта посчитают иначе-они примут решение. Ваш взгляд конечно важен, но не является приоритетным.

Об том и речь. Главное в этом случае это было бы желание.

Не всегда желания совпадают с возможностями, это касается не только чисто технической сферы. Но в данном случае и ее также.

если администратором безопасности у него будут отобраны права >по MAC - не сможет

Тоже верно.

Никто ничего не отбрасывает.

А ну ок. Т.е. предусматривается и защита от смены ядра на ванильное любой версии?

Верно, изначально не задал, но в рамках уже вашего ответа, конекретизировал часть вопроса.

Так тогда опять же стремные «сервера» с загадочными админами которые мало того что вообще ничего не проверяют так еще и наоборот должны всячески способствовать укрыванию от них информации? Неувязочка выходит.

Не всегда желания совпадают с возможностями, это касается не только чисто технической сферы.

Ок. Сделать так чтобы было трудно заметить вполне возможно. Даже сделать так чтобы было и не трудно заметить но трудно расшифровать тоже не особо большая проблема.

А вот полностью скрыть практически невозможно. Это если не брать изначальные условия где root умственно отсталый.

Вопрос не в терминологии. А в том, относительно кого или чего вы ведете свою деятельность. Если пытаетесь узнать что-то, выходящее за рамки конкретного технического вопроса, и что также не имеет к вам никакого отношения, то для того у кого вы хотите это узнать, вы являетесь крысой, в локальном понимании конечно.

ну и что?

Я не понимаю о чем вы. И у вас очень узкие мерки и понятия. Человек все-таки несколько более сложное Творение, нежели крысы. В качестве примера, человеки-«крысы»( в вашем понимании) умеют и любят прятаться среди других людей, в том числе и крысоловов. Приходиться скрывать что-то конкретное от крыс-хамелеонов, или оборотней, выбирайте что понравиться среди общей информации. Да и вообще ситуаций бывает много, разного рода.

мне-то какая разница до ситуации, которая побудила вас что-то скрывать? Всё просто: вы скрываете что-то даже от администратора? Да? Поздравляю: вы крыса в моей терминологии. А что оно в вашей — сути не меняет, меняет только название, aka термин.

Не скажу. У вас искаженные представления. См.выше. Зато человеческие крысы часто прячутся среди людей. Это факт.

вот потому-то вопрос сокрытия важен не только для крыс, но и для людей. Причём не только для крысоловов. Это одна из вещей, которые должен знать КАЖДЫЙ. И секретность здесь неуместна.

Раз есть крысы среди людей, значит их нужно ловить. Но крысоловы бессильны, если обычные люди считают, что крысоловы не нужны.

Все. Хорош флудить, а то в игнор отправлю.

мне-то что? Спрятать голову в песок — самое простое решение. И самое малоэффективное. Но я не против, проблема-то у вас.

То есть в общем случае от неполноценного рута таки можно скрыть файлы.

//fixed во имя правды.

Но врядли кто-то просто так, «спонталыги», станет на продакшен серверах заменять ядра

а ядро и не надо менять. Надо просто модуль отключить, и всё.

При условии отсутствия физ. доступа к компу - запароленный загрузчик, зашифрованный boot и доступ туда руту(не администратору grsecurity) на r/o - профит.

ну и какой смысл в таком руте? Зачем вообще вся эта эквилибристика на грани фола?

Есть (был) отличный способ что-то спрятать.
Отмонтируем /tmp, складываем спрятанное в /tmp, примонтируем /tmp. Сейчас, наверно, уже не взлетит (монтирование в непустой каталог), но раньше работало.

Ок. Сделать так чтобы было трудно заметить вполне возможно.

не факт. Есть временные штампы, есть логи, есть средства для поиска аномалий в них. Есть также средства, которые позволят сохранять логи даже после взлома сервера. Крыса может выжить на сервере, но ей будет тяжко, да и везучий она должна быть, как утопленник.

Даже сделать так чтобы было и не трудно заметить но трудно расшифровать тоже не особо большая проблема.

это вообще не проблема. Проблема в том, что замеченная крыса == мёртвая крыса.

Это если не брать изначальные условия где root умственно отсталый.

ах, так вот вы о чём…

Отмонтируем /tmp, складываем спрятанное в /tmp, примонтируем /tmp. Сейчас, наверно, уже не взлетит (монтирование в непустой каталог), но раньше работало.

и сейчас работает. Но не всё так просто. Рут видит ВСЕ точки монтирования, и их немного.

«Тебя посодют, а ты не воруй!» (с) Папанов А.Д.

Рут видит, что примонтирована /tmp. Это нормально. Он и знать не знает, что в /tmp на rootfs что-то лежит (чтобы посмотреть, нужно отмонтировать /tmp, а это никому в голову не придёт).

ну и какой смысл в таком руте?

Смысл в том что разделяются понятия администратор системы и администратор безопасности. То есть это граничный случай, когда выдавать права через sudo первому уже не получается, а давать абсолютно такой же набор привилегии как себе нельзя.

Всё просто: вы скрываете что-то даже от администратора? Да? >Поздравляю: вы крыса в моей терминологии. А что оно в вашей — >сути не меняет, меняет только название, aka термин.

Меняет. Потому как среди «администраторов» также могут быть крысы.Вы кстати сами подтвердили вашу неправоту. Ситуация транспарентна в обоих направлениях)))

вот потому-то вопрос сокрытия важен не только для крыс, но и >для людей. Причём не только для крысоловов. Это одна из вещей, >которые должен знать КАЖДЫЙ. И секретность здесь неуместна.

Вопрос сокрытия и секретности вашен всегда. Дело в том, что вам это не понять, судя по той путанице, что у вас в голове. Понятие информационной безопасности вам неведом однозначно, и не пытайтесь убедить в обратном. Ну или вы просто придуриваетесь, пытаясь узнать что-то, что не относиться к теме вопроса. Вы спорите сами с собой. Хотя вроде и понимаете абсурдность вашего спора.

Раз есть крысы среди людей, значит их нужно ловить. Но >крысоловы бессильны, если обычные люди считают, что крысоловы >не нужны.

Вот вы и сами подтвердили правильность моего вопроса. Молодец!

мне-то что? Спрятать голову в песок — самое простое решение. И >самое малоэффективное. Но я не против, проблема-то у вас.

Проблем у меня нет, единственная проблема в том, чтобы вы отвечали на вопрос, или не отвечали на него именно в том виде, в котором он задан, а не пытались его как-то переделать-это безполезно и не имеет отношения к обсуждаемой теме. Я просто предлагаю вам не засорять ветку флудом.

ах, так вот вы о чём…

Тут изначально сама раздел и постановка вопроса просто радуют - нужно создать «крысу» в линуксе а конкретный дистрибутив и вообще как это сделать придумайте по ходу… но «крыса» должна быть надежной и необнаружимой шописец!

И это конечно же в admin! Куда же еще как не туда!!!

А нечего что дистрибутивом может быть и статически собранное ядро вообще без всяких модулей и интегрированное прямо в ядро initr{d/amfs} с те же базибоксом и парой скриптов?

И это даже не вдаваясь в то, что есть rhel где все бекпортируют и продолжают жить на все тех же версиях а есть к примеру fedora rawhide. И если и это никак не меняет вопроса то вы меня простите.

а ядро и не надо менять. Надо просто модуль отключить, и всё.

Да, но его для начала необходимо найти, а для этого нужно что-то заподозрить. Это также часть схемы, но для начала необходимы именно механизмы сокрытия, а дальше можно говорить о механизмах обнаружения этих механизмов сокрытия. Это как бы следующий, вытекающий вопрос.

Рут видит, что примонтирована /tmp. Это нормально. Он и знать не знает, что в /tmp на rootfs что-то лежит (чтобы посмотреть, нужно отмонтировать /tmp, а это никому в голову не придёт).

ну например мне это вполне придёт в голову. Команду mount -o remount я часто использую.

Но что самое трагичное, ты не сможешь эти скрытые файлы никак использовать, особенно незаметно. Не получится просто так взять, и отмонтировать каталог, это нужен второй такой же tmp иметь, а это уже ОЧЕНЬ подозрительно. Да и затратно. А иначе незаметно переехать из одного /tmp в другой не получится.

Впрочем, я не в курсе, чего там ТСу надо.

ЗЫЖ и да, есть счётчик инодов, всегда можно посчитать разницу.

Меняет. Потому как среди «администраторов» также могут быть крысы.Вы кстати сами подтвердили вашу неправоту. Ситуация транспарентна в обоих направлениях

с такими крысами бороться с помощью технических средств бесполезно.

Вопрос сокрытия и секретности вашен всегда. Дело в том, что вам это не понять, судя по той путанице, что у вас в голове. Понятие информационной безопасности вам неведом однозначно, и не пытайтесь убедить в обратном.

даже и не подумаю пытаться.

Раз есть крысы среди людей, значит их нужно ловить. Но крысоловы бессильны, если обычные люди считают, что крысоловы не нужны.

Вот вы и сами подтвердили правильность моего вопроса. Молодец!

за то вы себя опровергли. Точнее добились взаимоисключающих §§ в своих утверждениях.

Проблем у меня нет

тогда я внимательно слушаю, как вы решили эту проблему. Или мы на экзамене? Тогда давайте билеты, профессор ☺

за то вы себя опровергли. Точнее добились взаимоисключающих §§ >в своих утверждениях.

Голословное утверждение. Все как раз ровно да наоборот)))

тогда я внимательно слушаю, как вы решили эту проблему.

Решаю. И вполне успешно. Методом обсуждения вопроса с участниками форума. И вы в их числе) Добро пожаловать, всегда рад общению)

Но что самое трагичное, ты не сможешь эти скрытые файлы никак >использовать, особенно незаметно.

Ошибаетесь, использовать можно, в том числе и незаметно. Но хранить то незаметно точно можно. Вполне незаметно.

Голословное утверждение. Все как раз ровно да наоборот

хорошо. Давайте по шагам: крысы есть? да/нет? Кому нужен сабж? Крысе/крысолову/простому хомяку? Как я вижу — исключительно крысе. Но вы почему-то отрицаете свою принадлежность к крысам, и тем не менее, пытаетесь получить помощь в решении типичной крысиной проблемы. Одно из двух: либо вы крыса, либо вы крысолов, который крысу не может поймать. Однако, если-бы вы были крысоловом, то вас интересовал-бы вопрос «как найти?», но вас этот вопрос как раз не интересует, у вас баттхерт от моих постов, в которых я показываю, как это всё находится. А должна быть радость. Значит вы — крыса. Но вы — не крыса. Противоречие. ЧиТД.

Решаю. И вполне успешно. Методом обсуждения вопроса с участниками форума. И вы в их числе) Добро пожаловать, всегда рад общению)

скрывать свои решения может только крыса, только ей выгодно, что-бы было много решений, и ни одного лучшего. Крысолову выгоднее получить типичную крысиную нычку, дабы искать там крыс. Тем, что вы скрываете свой выбор решения среди множества доступных, вы ещё раз доказываете свою крысиную сущность.

Ничего личного, это простая логика.

ЗЫЖ и да, быть крысой — это хорошо и годно. Крысолов просто ОБЯЗАН думать как крыса, иначе он не годный и не нужный крысолов. Хомячки хоть и не обязаны думать и действовать как крысы, однако ОБЯЗАНЫ знать крысиные повадки и нычки. Ну если они не хотят жить в крысятнике.

Ошибаетесь, использовать можно, в том числе и незаметно.

это вы ошибаетесь. Конечно использовать можно, но какой смысл вы вкладываете в слово «использовать»? Выше я уже писал про использование файлов, которых ВООБЩЕ НЕТ в ЛЮБОЙ ФС. Очевидно, точно также можно использовать файлы, которых нет в подключённой ФС. Но вот использовать их возможно лишь УЖЕ открытые файлы, ибо нет способа открыть файл минуя его имя. Т.е., скрыв имя файла, вы запрещаете его открытие, однако

1. рут может всегда открыть скрытое имя

2. УЖЕ открытые файлы всегда доступны, причём не только руту, но и тому, кто их открыл.

3. у файла может быть сколько угодно имён

Но хранить то незаметно точно можно. Вполне незаметно.

только если рут — недоумок. Или если это НЕ рут.

скрывать свои решения может только крыса, только ей выгодно

Глупость полная. Я же говорю, что у вас абсолютное непонимание сути вопроса безопасности))) Учите матчасть. Остальное даже разбирать безполезно с вашим некомпетентным в этой области подходом.

Вы одно из двух: Или админ, никогда не имевший представления о работе ИБ вцелом и в нюансах, но с чрезмерно большим ЧСВ, или обыкновенный провокатор. Скорее второе)))

...мыши...это вы ошибаетесь. Конечно использовать можно, но >какой смысл >вы вкладываете в слово «использовать»?...мыши...

Я вкладываю смысл ИСПОЛЬЗОВАТЬ технически. Меня мало волнуют ваши личностные переживания по факту непонимания и незнания моей прикладной области использования ТЕХНИЧЕСКОЙ возможности(для ответа на мои вопросы этого просто не требуется). Не пытайтесь выяснить что-то, выходящее за рамки конкретного вопроса треда. Остальные ваши заблуждения вы сами подтвердили, или вам на них указали другие участники обсуждения.

1. рут может всегда открыть скрытое имя

Ну видите, вам уже ответили, что помимо рута есть и администратор безопасности, который может скрыть часть функций руту. Значит это может быть необходимо не только дла «крыс». Хотя о чем это я, вам же это непонятно...

2. УЖЕ открытые файлы всегда доступны, причём не только руту, >но и тому, кто их открыл.

Но их ведь можно не открывать, вам никто не говорил только лишь про открытые файлы, в исходных условиях задачи)))

3. у файла может быть сколько угодно имён

Ну вы еще и о файловых системах имеете весьма посредственное представление?

Если монтировать через fuse, ничего не увидит.

Спасибо.

скрывать свои решения может только крыса, только ей выгодно

Глупость полная. Я же говорю, что у вас абсолютное непонимание сути вопроса безопасности))) Учите матчасть. Остальное даже разбирать безполезно с вашим некомпетентным в этой области подходом.

или обыкновенный провокатор. Скорее второе

хм… Однако, если вы разбираетесь так хорошо в вопросе, то что вам стоит уличить меня в провокации(незнании)? Это же довольно просто… Или?

Я вкладываю смысл ИСПОЛЬЗОВАТЬ технически.

ВНЕЗАПНО: я тоже. Моральная сторона меня совершенно не волнует.

Не пытайтесь выяснить что-то, выходящее за рамки конкретного вопроса треда.

вопрос некорректный в ТЕХНИЧЕСКОМ смысле.

Ну видите, вам уже ответили, что помимо рута есть и администратор безопасности, который может скрыть часть функций руту.

я ещё раз повторю: неполноценный рут — НЕ рут. Просто видимость рута, которая обладает какими-то дополнительными правами. Если я говорю «рут», то это рут, а не какая-то ваша сущность.

Но их ведь можно не открывать, вам никто не говорил только лишь про открытые файлы, в исходных условиях задачи

в том-то и дело, что если их не открывать, то их НЕ ОТКРЫТЬ. В исходных условиях — двусмысленность, непонятно, считается-ли использование уже открытых файлов за «использование»? Можно-ли в вашей ОС открывать файлы минуя их имя? Вот в Linux — нельзя. Можно только новые создавать и открытые юзать.

3. у файла может быть сколько угодно имён

Ну вы еще и о файловых системах имеете весьма посредственное представление?

вы решили оспорить мои знания ФС? Ну и чего я не знаю?

Однако, если вы разбираетесь так хорошо в вопросе, то что вам >стоит уличить меня в провокации(незнании)? Это же довольно >просто… Или?

А что вас уличать то? Вы и сами с этой задачей неплохо справились)))

вопрос некорректный в ТЕХНИЧЕСКОМ смысле.

Вопрос вполне корректный. Ваши домыслы остаются с вами.То что вам что-то непонятно, не означает автоматически «неправильность» вопроса. Да и это также уже очевидно в нашем случае)

я ещё раз повторю: неполноценный рут — НЕ рут.

«Полноценный рут»-это не более чем ваша выдумка. Тем не менее это уже не сущуственно, тоесть не имеет отношения к сути вопроса.

В исходных условиях — двусмысленность, непонятно, считается-ли >использование уже открытых файлов за «использование»?

Вот и понимайте так, как можете, если можете. Пусть двусмысленно, зато корректно, и именнто так, как должно быть. От вас большего тут никто не требует.

rm прекрасно прячет файлы от рута.

На счет «скрыть» не знаю, но в Nokia N9 (Meego Harmattan) есть механизм, называемый aegis. как я понял - это ядерный модуль, который запрещает всем пользователям (в т.ч руту) редактировать некоторые файлы в ФС. Возможно поможет.
Ну а вообще такие штуки - удел руткитов, как выше уже писали.

Собственно говоря это и понятно. И соответственно сокрытия уже самих руткитов от любознательного админа.

Юмор сасчитан. И самое интересное, что в этом также есть доля истины. ведь файл до поры с носителя не удаляется, а только лишь его информативная структура, связывающая данные с системой.

А что вас уличать то? Вы и сами с этой задачей неплохо справились

слив засчитан.

«Полноценный рут»-это не более чем ваша выдумка. Тем не менее это уже не сущуственно, тоесть не имеет отношения к сути вопроса.

это да.

Вот и понимайте так, как можете, если можете. Пусть двусмысленно, зато корректно, и именнто так, как должно быть. От вас большего тут никто не требует.

не. Бессмыслицу я понять не могу. Даже если она по вашему «корректна».

И да, ваши требования меня мало волнуют.

На счет «скрыть» не знаю, но в Nokia N9 (Meego Harmattan) есть механизм, называемый aegis. как я понял - это ядерный модуль, который запрещает всем пользователям (в т.ч руту) редактировать некоторые файлы в ФС. Возможно поможет.

в EXT3,4 есть

A file with the `i' attribute cannot be modified: it cannot be deleted or renamed, no link can be created to this file and no data can be written to the file. Only the superuser or a process possessing the CAP_LINUX_IMMUTABLE capability can set or clear this attribute.

Ну а вообще такие штуки - удел руткитов

ну или защиты от руткитов.

Юмор сасчитан. И самое интересное, что в этом также есть доля истины. ведь файл до поры с носителя не удаляется

не факт. В EXT3,4 удаляется расположение блоков, что в общем случае приводит к потере файлов. В SSD ещё и сами данные удаляются. Кроме того, во многих ФС возможно использование вот этого:

When a file with the `s' attribute set is deleted, its blocks are zeroed and written back to the disk. Note: please make sure to read the bugs and limitations section at the end of this document.

хотя обычно это и не работает.

ну, я лишь xотел сказать, сэр, что сокрытие файлов от root, дискредитирует само понятие root'a, и прав его доступа.

слив засчитан.

Не переживайте, я вам его засчитал)

не. Бессмыслицу я понять не могу. Даже если она по вашему >«корректна».

Безсмыслица у вас в голове. И вы это сами доказали. Ну и другие участники тоже. Вы топчитесь и повторяетесь, не производя ничего полезного уже много постов, в безсильных попытках что-то там выведать. В отличие от других. Даже не интересно.

ну, я лишь xотел сказать, сэр, что сокрытие файлов от root, >дискредитирует само понятие root'a, и прав его доступа.

Не дискредитирует, а всего-лишь раскрывает дополнительные стороны понимания понятия информационная безопастность. Точнее сказать-дает возможность посмотреть на это с разных сторон)))

не факт. В EXT3,4 удаляется расположение блоков, что в общем >случае приводит к потере файлов. В SSD ещё и сами данные >удаляются. Кроме того, во многих ФС возможно использование вот >этого:

Ну наконец-то вы что-то написали по-делу))) Ну не везде стоит ext4. И не всегда. Это да.

какой-то скучный вброс.

Ну наконец-то вы что-то написали по-делу))) Ну не везде стоит ext4. И не всегда. Это да.

главное: хорошо, что не везде такие одмины.

главное: хорошо, что не везде такие одмины.

Как показывает практика, таких предостаточно. Да и на старуху бывает проруха. Так что не зарекайтесь) Да и не только в админах дело, а в возможностях технологий. Тут понимаете-ли комплексный подход.