LINUX.ORG.RU
ФорумSecurity

Какие меры необходимо принять, чтобы устранить по-максимум следы регистрации и работы в Linux системе?


1

3

Какие меры необходимо принять, чтобы устранить по-максимум следы регистрации и работы в Linux системе? Общеизвестные меры:

-Чистка всевозможных логов системы и программ; Время изменения в файловой системе; Контрольные суммы файлов

На какие еще моменты/систавляющие системного окружения следует обратить внимание, которые могут указать на присутствие и деятельность пользователя, программы в системе?

★★

Последнее исправление: ChAnton (всего исправлений: 1)
Несколько общих вопросов
Доступ к файлам.

Кроме логов и файлов в системе-то и нет ничего. Вопрос в том, какие логи чистить. Например, wtmp всё-равно зафиксирует факт твоего логаута.

generator ★★★
()

Раскрой-ка еще одну очень важную деталь: есть ли физический доступ к компьютеру?

Anon
()
Ответ на: комментарий от Chaser_Andrey

не, ты что, просто у них на работе нужно на каждый логин писать расписку в бумажный журнал и заверять у зав. отдела, инфа 146%.

anonymous
()

В нормальных конторах логи собираются централизовано, так что чисть — не чисть, а логи уже ушли в недоступное юзеру место.

anonymous
()
Ответ на: комментарий от generator

Вопрос в том, какие логи чистить. Например, wtmp всё-равно зафиксирует факт твоего логаута.

Имея на руках рута нет проблем это обойти :)

winddos ★★★
()
Ответ на: комментарий от generator

Наверное cron'ом, после выхода по-таймеру...

ChAnton ★★
() автор топика
Ответ на: комментарий от Anon

Раскрой-ка еще одну очень важную деталь: есть ли физический >доступ к компьютеру?

А вот было бы интересно услышать оба варианта)))

ChAnton ★★
() автор топика
Ответ на: комментарий от generator

Да хоть как предложено выше - кроном, при этом крон можно сделать совершенно не подозрительным на случай если он тоже есть в логах.
Достаточно нужный код поместить в любой системный скрипт, а после выполнения удалить задачу из crontab и заменить скрипт на оригинальный.

Но по сути при наличии рута можно сделать что угодно :)

winddos ★★★
()
Ответ на: комментарий от ChAnton

А вот было бы интересно услышать оба варианта)))

Ну если у тебя есть физический доступ, то ты можешь просто запустить систему в ro, считать отттуда нужные данные и никаких тебе логов.

winddos ★★★
()
Ответ на: комментарий от ChAnton

Если есть доступ, проблем 0. Если нет — сначала надо его как-то получить, да еще и рутовский…

Anon
()

Какие меры необходимо принять, чтобы устранить по-максимум следы регистрации и работы в Linux системе ?

Никаие. Если лезешь туда, где за этим не следят, то пофигу. Если лезешь туда, где следят, тоже пофигу, так как remote syslog.

AS ★★★★★
()
Ответ на: комментарий от Harald

а кто в него пишет, какая программа?

wtmp is maintained by login(1), init(8), and some versions of getty(8) (e.g., mingetty(8) or agetty(8)). None of these programs creates the file, so if it is removed, record-keeping is turned off.

sjinks ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Несколько общих вопросов
Security
Доступ к файлам.