поставить гарантированно чистое ядро а дальше

Ну это то понятно. Тут конечно трудно придумать противодействие. Но мы рассматриваем вариант, когда root не так глубоко будет копать, по-крайней мере какое-то время.

влепить ro на все что только можно

Тоже аргумент, но и это не панацея. Смотря что собираемся скрывать и с какой целью.

включить дикое логирование вообще всего

Также как и первые два пункта. Да и «все» логировать весьма затруднительно. Такое бывает редко, и обойти при желании это также можно.

проверить «автозапуск»

Да, но можно и не делать это автозапуском.

проверить любые подозрительные и не очень процессы

Тогда скрывать процессы. это вполне осуществимо. Теми же руткитами. Да и не факт, что понадобиться поднимать какие-то процессы.

проверить каким программам соотвествуют какие файлы

Если процессы скрыть, например руткитом, то смотреть будет непонятно что. Только трассировать память. А если как говорилось ранее, рассатривать вариант, когда никакие процессы в реализации данной задачи вообще не задействованы, то это отпадает.

Но мы рассматриваем вариант, когда root не так глубоко будет копать, по-крайней мере какое-то время.

Ну а если все пардон дауны то и скрывать ничего не нужно… Им все равно и в голову не придет что то искать.

Тоже аргумент, но и это не панацея. Смотря что собираемся скрывать и с какой целью.

Да но любые попытки записи, пусть даже скрытыми процессами, ro файла будут видны как на ладони.

Также как и первые два пункта. Да и «все» логировать весьма затруднительно. Такое бывает редко, и обойти при желании это также можно.

Не помешает в любом случае.

Тогда скрывать процессы. это вполне осуществимо. Теми же руткитами. Да и не факт, что понадобиться поднимать какие-то процессы.

Те же руткиты выявляются элементарно. Как см выше. Тут даже изобретать ничего не нужно.

Если процессы скрыть, например руткитом, то смотреть будет непонятно что. Только трассировать память. А если как говорилось ранее, рассатривать вариант, когда никакие процессы в реализации данной задачи вообще не задействованы, то это отпадает.

Будет процесс или нет другой вопрос… Однако если разговор про хранение то будет некий файл. И конечно же странный файл, непонятного содержания в странном месте да еще и не принадлежащий ни одной программе - действительно ничего подозрительного!

Да и еще одна маленькая проблемка - ведь можно попасть в систему с уже настроенными ядром и окружением где все закручено максимально. В линуксе скрывать что либо все равно бесполезно. Ведь сменить можно и ядро и окружение да и вообще в xen или прочем контейнере запустить и отслеживать любые действия хоть по шагам.

Ну а если все пардон дауны то и скрывать ничего не нужно… Им >все равно и в голову не придет что то искать.

Ну это вы хавтили. Никто не говорит что все напрополую дауны. Ни в коем случае. Но если настроить все грамотно, то среднестатистическому администратору действительно не придет в голову как досканально все проверять. Проверено!

Да но любые попытки записи, пусть даже скрытыми процессами, ro >файла будут видны как на ладони.

Да. Но обойти это можно. И вопрос не в том, что настроено или не настроено ro, а вопрос просто в технологии сокрытия, например без ro.

Те же руткиты выявляются элементарно. Как см выше. Тут даже >изобретать ничего не нужно.

Ну не преувеличивайте, если бы они вычислялись прям так элементарно, их бы никто не писал)))

Однако если разговор про хранение то будет некий файл. И >конечно же странный файл, непонятного содержания в странном >месте да еще и не принадлежащий ни одной программе - >действительно ничего подозрительного!

Вот и надо придумать такое решение, чтобы никто странного файла в странном месте и при странных обстоятельствах не заметил)

Да и еще одна маленькая проблемка - ведь можно попасть в >систему с уже настроенными ядром и окружением где все >закручено максимально. В линуксе скрывать что либо все равно бесполезно.

Безусловно проблемка. Но совсем не такая уж непреодолимая как выясняется. Не преувеличивайте, скрывать вполне себе можно и отнюдь не безполезно.

Давайте не будем филосовствовать в конкретных технических вопросах, ок?

давай, начинай.

Нужно чтобы пользователи и root не видели файлов на диске, при просмотре всеми стандартными инструментами Linux.

запрети право чтения каталога. Но на рута не подействует, а хозяин может изменить.

Нет в этом вопросе ничего ненормального и нестандартного. Решение вполне соответствует всем стандартам.

ты переаттестацию ЛОРа делаешь?

но вполне выполнимая(причем в рамках POSIX/UNIX), пусть и с долей %

давай ты всё-же матчасть изучишь? Почитай здесь: http://ru.wikipedia.org/wiki/Принцип_Керкгоффса

truecrypt, gnupg

[Неуловимый Джо] Локальное шифрование раздела без доступа для root'а. Делимся советами! (комментарий)

Если монтировать через fuse, например sshfs, то рут не будет иметь доступ

4.2

у рута есть доступ к твоему ключу, значит и доступ к твоему ssh.

Я просто недавно озадачился поиском софта для бекапа, которое может позволит хранить бекапы на untrusted сервере.

проблема в доступе по чтению? Дык просто зашифруй их открытым ключом (man gpg). Например ты можешь моим ключом из моего профиля шифровать бекапы, и ты этих своих бекапов не расшифруешь. Даже с паяльником в заднице.

Да. Но обойти это можно. И вопрос не в том, что настроено или не настроено ro, а вопрос просто в технологии сокрытия, например без ro.

слушай, может тебе это надо? http://ru.wikipedia.org/wiki/Стеганография

Дык что ты голову-то морочишь??

Вот и надо придумать такое решение, чтобы никто странного файла в странном месте и при странных обстоятельствах не заметил)

что-бы спрятать листочек, нужен просто лес. Что-бы спрятать иголку, нужно во первых замаскировать её под сосновую иголку, и во всторых нужен сосновый лес.

Т.е. делаем галерею с порнухой на 100500 фоточек, к одно из них пришпиливаем сообщение. Можно командой cat. Фотку среди 100500 можно выбрать случайно, и запомнить её md5. Перед сообщением можно вписать случайное число, которое тоже можно запомнить.

Если тебя это не устраивает, есть способ лучше: музыка. Храни музыку в lossless. Там есть случайный шум, который ты тоже хранишь. Возьми, и просто замени этот случайный шум на рандомизированное сообщение. Сделать это очень просто:

1. шифруем сообщение программой GnuPG, почитай ман, там был режим без всяких заголовков, просто белый шум

2. раскладываем сообщение скажем по два бита на слово.

3. перекодируем музыку в WAV, запоминаем.

4. используя XOR, объединяем 2 мл. бита музыки с 2 битами сообщения

5. упаковываем получившуюся музыку обратно.

Дешифровка в обратной последовательности. Можно взять популярную музыку, и закинуть её в файлообменную сеть, таким образом можно отправлять секретные сообщения в центр.

давай ты всё-же матчасть изучишь? Почитай здесь: >http://ru.wikipedia.org/wiki/Принцип_Керкгоффса

А при чем тут матчасть и соответствие с POSIX и Opensource? Ничем в данном случае ваша ссылка не противоречит вышесказанному, тем более указанным стандартам и технологиям, при помощи которых реализуются названные механизмы))) Это вы что-то путаете, и давайте-ка, отделяйте уже как мух от котлет.

По-существу вопроса, где вы расписали кое-что, чуть позже отпишу.

Включаем телепатию...

https://tahoe-lafs.org/trac/tahoe-lafs

Я угадал общую задачу топикстартера?

ты-бы хоть вопрос нормально сформулировал, а то уже кучу постов угадывать приходится…

проблема в доступе по чтению? Дык просто зашифруй их открытым ключом (man gpg). Например ты можешь моим ключом из моего профиля шифровать бекапы, и ты этих своих бекапов не расшифруешь. Даже с паяльником в заднице.

Сейчас у меня как раз так и делаются бекапы одного сайта.
Бекап шифруется gnupg и отправляется на untrusted сервер.
Закрытый ключ находится не на этих двух машинах.

Просто такой способ не очень удобный если файлы часто меняются.
В принципе можно соорудить свой велосипед конечно.

ты-бы хоть вопрос нормально сформулировал, а то уже кучу постов >угадывать приходится…

Не знаю, что ты там угадываешь, люди вон с «полуслова» понимают. Может это тебе нужно научиться интерпретировать? Да и вообще, любой вопрос нужно в какой-то мере «угадывать», как бы пропускать через собсвенное понимание, прежде чем в мыслях сформируется какая-то картина. Да и вопросы бывают разные. А то вам все простые подавай. С простыми мы и сами как-нибудь)

И да, вопрос сформулирован именно так, как стоит задача. Сформулирован нормально!

Сформулирован нормально!

Мы без тебя решим, нормально ли он сформулирован.

Ты для себя лично можешь решать все что угодно. Это не очень интересно.

man ntfs stream

Просто такой способ не очень удобный если файлы часто меняются. В принципе можно соорудить свой велосипед конечно.

ну дверь — вообще неудобная вещь. Вот например такая дверь удобнее: http://s019.radikal.ru/i604/1301/7f/5f2291320764.jpg

Не знаю, что ты там угадываешь, люди вон с «полуслова» понимают.

тебе нужно было получить Over9000 постов о том, что root может прочитать любой файл? Сложно называть вещи своими именами? То, что ты хочешь, называется СТЕГАНОГРАФИЯ, запомни это слово. А с полуслова только влюблённые общаются, по той простой причине, что всем понятно, чего им хочется — просто потрахаться. В техническом вопросе это неуместно.

И да, вопрос сформулирован именно так, как стоит задача. Сформулирован нормально!

твой вопрос можно понять как минимум в четырёх разных смыслах. И то, что для тебя очевиден лишь один вариант, ни о чём не говорит. Телепаты всё ещё в отпуске.

man ntfs stream

приветствую тебя, бот с винфака!

root может прочитать любой файл...
То, что ты хочешь, называется СТЕГАНОГРАФИЯ

Мне известно, что руту «можно все»-опять же, с оговорками. Но ведь я этого не отрицал, и уточнил этот вопрос.

твой вопрос можно понять как минимум в четырёх разных смыслах. >И то, что для тебя очевиден лишь один вариант, ни о чём не >говорит.

Отлично! Раз вы понимаете в вопросе аж 4! разных смысла-так можете отвечать отдельно по каждому понятому вами смыслу, или по всем в комплексе. Я же сказал-вопрос именно в таком виде, в котором его задали, а не в том, в каком хочется вам. Не вы же задаете вопрос, правда ведь? И если кто-то видит в вопросе даже хотя-бы один смысл(тем более в техническом вопросе), это означает, что вопрос уже очевиден, хоть с какой-либо стороны) Надеюсь так вам понятнее...

Отмонтировать /boot, залить в /boot файл, снова смонтировать. Файл в результате есть на диске, но нету в дереве фс.

При чем здесь винфак? Это просто файловая система, которая используется не только в винде, у нее есть механизм сокрытия информации. Вполне логичный ответ на сабж.

есть механизм сокрытия информации.

он раскрывается тулзой с сайта ms

Мне известно, что руту «можно все»-опять же, с оговорками.

man rule 34

Отлично! Раз вы понимаете в вопросе аж 4! разных смысла-так можете отвечать отдельно по каждому понятому вами смыслу, или по всем в комплексе.

очевидно, что ¾ моего ответа тебе не нужно. Потому-то и получаешь укороченную версию.

Не вы же задаете вопрос, правда ведь?

дык задай его нормально, если хочешь нормальный ответ. Иначе тебя просто пошлют на… Тебе это нужно?

Надеюсь так вам понятнее...

мне-то как раз всё понятно.

Про веселый руткит из яндекс-олимпиады вспоминали? :)

Отмонтировать /boot, залить в /boot файл, снова смонтировать. Файл в результате есть на диске, но нету в дереве фс.

можно сделать проще:

1. создать программу, которая ничего не делает в файле ~/test_prg

2. запустить ~/test_prg

3. удалить ~/test_prg

получаешь ~/test_prg которая есть на диске, есть в памяти, она выполняется, но её нет в дереве каталогов. Права рута тут тоже не нужны.

И это ещё не всё!

4. создаём новую версию ~/test_prg

Получаем исполняемый файл ~/test_prg, который НЕ является тем, что работает сейчас под этим именем.

Это просто файловая система, которая используется не только в винде, у нее есть механизм сокрытия информации.

с тем же успехом можно прятать свои сбережения в помойке. Мало кто их будет там искать. С другой стороны, опытный вор всегда в первую очередь смотрит ящик с носками, а во вторю — помойку и бачок унитаза. ИЧСХ, обыватели об этом не подозревают, уже Over9000 лет.

При чем здесь винфак?

ядрёная ntfs-3g уже научилась работать с такими потоками? Насколько я знаю — нет, ибо до сих пор нет толковой документации для этой помойки. Только на уровне «поставьте галочку сделай мне пиз сделай так, что-бы я думал, что файл спрятан!»

Там даже удаление до сих пор на уровне «сделай так, что-бы мне казалось, что файл удалён». И только в man rm есть примечание, что это только иллюзия. Для обывателя это не нужно.

очевидно, что ¾ моего ответа тебе не нужно. Потому-то и >получаешь укороченную версию.

Я не вижу что тебе что-то там очевидно. Не стоит додумывать и корректировать чужие вопросы. Можешь ответить - ответь но то, что смог понять. Не можешь - не надо пытаться умничать и учить других задавать вопросы(если не смог понять), если есть собственные вопросы, можешь задать их самостоятельно. Ок?

дык задай его нормально, если хочешь нормальный ответ. Иначе >тебя просто пошлют на… Тебе это нужно?

Я не хочу повторять по 50 раз тот факт, что вопрос задан нормально. Если ты не смог что-то там понять, или понял как-то «не так», и опять же, с твоей точки зрения(которая кстати неочевидна совсем)-это не означает что вопрос задан плохо. Вопрос задан нормально, и именно так как задан. Все. И меня мало интересует тот факт, что кто-то кого-то посылает))) Кто-то посылает, а кто-то отвечает вполне нормально и адекватно, люди разные. И это очевидно.

мне-то как раз всё понятно.

Глядя на ваши посты, это не сильно заметно.

Спасибо за ответ.

Так, а поподробнее, что за руткит из yandex-олимпиады?

Я не вижу что тебе что-то там очевидно

я понимаю, что тебе это непонятно. Потому и пытаюсь тебе это объяснить.

Не стоид додумывать и корректировать чужие вопросы

ты не оставил выбора. Это как вопрос «сколько будет 7*8 в не десятичной системе счисления?». Также и твой вопрос «как спрятать файл, что-бы его рут не видел?» является двусмысленным, и имеет Over9000 РАЗНЫХ правильных ответов.

Вопрос «сколько будет разделить на ноль?» из этой же серии.

Не можешь - не надо пытаться умничать и учить других задавать вопросы, если есть собственные вопросы, можешь задать их самостоятельно. Ок?

дык я и задаю иногда. И на нормальный вопрос получаю нормальный ответ.

с твоей точки зрения(которая кстати неочевидна совсем)

мой ответ про деление на ноль тоже совсем не очевиден. И это совсем НЕ говорит о том, что я плохо знаю математику, в частности — деление чисел я знаю совсем неплохо.

я понимаю, что тебе это непонятно. Потому и пытаюсь тебе это >объяснить.

Не стоит пытаться объяснить то, что вам непонятно)

является >двусмысленным, и имеет Over9000 РАЗНЫХ правильных >ответов.

«Двусмысленным» он является для тех, кто не понял смысла вопроса, а точнее его контекста. Вероятно что ты как раз не понял. Но что-то ты все-таки смог понять и даже ответил, и за это отдельное спасибо. Вопрос является правильным, пусть и кажется «двусмысленным». Двусмысленность(опять же с вашей точки зрения)-не равно «неправильность»

Так что то что ответов Over9000-это тоже правильно.

дык я и задаю иногда. И на нормальный вопрос получаю >нормальный ответ.

Молодец, но тут ты немного застрял с пониманием и оценкой-ничего, бывает)

мой ответ про деление на ноль тоже совсем не очевиден. И это >совсем НЕ говорит о том, что я плохо знаю математику, в >частности — деление чисел я знаю совсем неплохо.

Вот именно!!!)))

PS: Флуд на тему «правильно/не правильно» завязываем. Воспринимайте вопрос так, как вам удается его понимать.

Конечно, я не предлагаю использовать именно ntfs, просто указал один из вариантов. А так, естесственно, лучше приглядется к линуксовым фишкам.

я понимаю, что тебе это непонятно. Потому и пытаюсь тебе это объяснить.

Не стоит пытаться объяснить то, что вам непонятно

то, что тебе непонятно, тоже можно не пытаться объяснить? Всё равно не поймёшь, или сделаешь вид, что не понял?

«Двусмысленным» он является для тех, кто не понял смысла вопроса, а точнее его контекста. Вероятно что ты как раз не понял. Но что-то ты все-таки смог понять и даже ответил, и за это отдельное спасибо. Вопрос является правильным, пусть и кажется «двусмысленным». Двусмысленность(опять же с вашей точки зрения)-не равно «неправильность»

это зависит от цели вопрошающего. Ты, очевидно, хотел срач начать на заданную тему.

Молодец, но тут ты немного застрял с пониманием и оценкой-ничего, бывает

я, вообще-то, ничего не спрашивал. Это ты был.

Воспринимайте вопрос так, как вам удается его понимать.

а если я не понял вопроса?

Если ЗНАЧЕНИЕ= none, то пользователь не получит доступа к потокам.

и что, ЗНАЧЕНИЕ поменять нельзя?

А список потоков для файла посмотреть нельзя? А список с none нельзя?

ЗЫЖ извини, у меня ntfs-3g не установлено, в силу её полной ненужности.

я не предлагаю использовать именно ntfs, просто указал один из вариантов

хоть рассказал-бы, от кого в действительности это всё скрывается? Или «мопед не мой»?

Там было одно из заданий - отловить руткит.
Руткит оказался в виде ядерного модуля, и скрывал наличие своего файла в ФС, потому ничем не палился на запущенной системе.

то, что тебе непонятно, тоже можно не пытаться объяснить?

Так вот если не понял, ты переспроси, а не умничай.

это зависит от цели вопрошающего. Ты, очевидно, хотел срач >начать на заданную тему.

Цель-получить ответы на заданный вопрос(именно в таком, а не в каком-то другом) виде. И я их получаю, не только от вас, и они меня удовлетворяют. А не вас. Но вопрос мой, так что не вам решать, как его задавать. Тем более что вы сами признались, что увидели там много значений, тогда может быть лучше вам заняться ответами на то, что поняли и поделиться собственным опытом, а не подгонять вопросы под себя. Срача никакого нет, и не надо его начинать.

а если я не понял вопроса?

Вот так и скажи изначально, а не подгоняй их под то, что тебе нравиться. Вот видишь- ты не понял, а не вопрос задан неправильно! Учитесь понимать.

А зачем вам знать, что конкретно и от кого скрывается? Шпион что-ли? Так бы сразу и сказали, а то наводите тут тень на плетень. Тогда все понятно. Но это простите не имеет никакого отношения к технической стороне технически ПРАВИЛЬНОГО вопроса.

А есть ли ссылки на само задание и его решения, или где можно поискать?

А зачем вам знать, что конкретно и от кого скрывается? Шпион что-ли?

какая разница, шпион или разведчик? Вопрос в терминологии. Есть крысы, есть крысоловы. И те и другие думают одинаково. Какая тебе разница, за кого я работаю?

Так бы сразу и сказали, а то наводите тут тень на плетень. Тогда все понятно. Но это простите не имеет никакого отношения к технической стороне технически ПРАВИЛЬНОГО вопроса.

вообще-то скрывать файлы надо только крысе. Или я чего-то не знаю?

Может мне расскажешь, зачем не крысе, и не крысолову скрывать какие-то файлы?

какая разница, шпион или разведчик? Вопрос в терминологии.

Вопрос не в терминологии. А в том, относительно кого или чего вы ведете свою деятельность. Если пытаетесь узнать что-то, выходящее за рамки конкретного технического вопроса, и что также не имеет к вам никакого отношения, то для того у кого вы хотите это узнать, вы являетесь крысой, в локальном понимании конечно.

вообще-то скрывать файлы надо только крысе. Или я чего-то не >знаю?

Я не понимаю о чем вы. И у вас очень узкие мерки и понятия. Человек все-таки несколько более сложное Творение, нежели крысы. В качестве примера, человеки-«крысы»( в вашем понимании) умеют и любят прятаться среди других людей, в том числе и крысоловов. Приходиться скрывать что-то конкретное от крыс-хамелеонов, или оборотней, выбирайте что понравиться среди общей информации. Да и вообще ситуаций бывает много, разного рода.

Может мне расскажешь, зачем не крысе, и не крысолову скрывать >какие-то файлы?

Не скажу. У вас искаженные представления. См.выше. Зато человеческие крысы часто прячутся среди людей. Это факт.

PS: Все. Хорош флудить, а то в игнор отправлю.

http://www.gentoo.ru/node/26293

Спасибо. Посмотрю.

в рамках POSIX/UNIX IMHO не выполнимая.

Можно заюзать Grsecurity, там есть еще одна сущность над рутом - администратор системы безопасности. Сущность может получить рутовый процесс, прошедший процедуру дополнительной аутентификации.

То есть в общем случае от рута таки можно скрыть файлы. Конечно тут надо понимать, что тогда от рута надо прятать такие возможности как загрузка/выгрузка модулей ядра и возможность его смены(как минимум).

То есть в общем случае от рута таки можно скрыть файлы. Конечно тут надо понимать, что тогда от рута надо прятать такие возможности как загрузка/выгрузка модулей ядра и возможность его смены(как минимум).

Ага при загрузке написать большими и понятными буквами «Не меняй ядро! Ну пожалуйста!»

Можно заюзать Grsecurity, там есть еще одна сущность над рутом >- администратор системы безопасности. Сущность может получить >рутовый процесс, прошедший процедуру дополнительной >аутентификации.

То есть в общем случае от рута таки можно скрыть файлы. Конечно >тут надо понимать, что тогда от рута надо прятать такие >возможности как загрузка/выгрузка модулей ядра и возможность >его смены(как минимум).

Да, но если как вы говорите тот самый процесс, прошедший дополнительную процедуру валидации в контексте рута станет администратором системы безопасности, то например другой процесс от имену рута, который данную систему пройти не сможет, даже будучи рутом, ничего поделать не сможет?

Ага при загрузке написать большими и понятными буквами «Не >меняй ядро! Ну пожалуйста!»

Это конечно, технически вполне возможно. Но врядли кто-то просто так, «спонталыги», станет на продакшен серверах заменять ядра))) Тут грань проходить где-то в промежутке между технической возможностью и психологической составляющей.

при загрузке написать большими и понятными буквами «Не меняй ядро! Ну пожалуйста!»

При условии отсутствия физ. доступа к компу - запароленный загрузчик, зашифрованный boot и доступ туда руту(не администратору grsecurity) на r/o - профит.

Если физ. доступ есть - не спасет ничего