Как максимально скрыть свои действия в системе?

1

2

Имеется в виду не на чужой взломанной машине, а на своей. Чтобы в случае (взлома) попадания компа в плохие руки, на нем не было ничего.

Где остаются следы, помимо всего, что в /var/log? Интересуют логины тех, кто подключался локально, логины и ip, с которых подключались по ssh, команды, вводившиеся в консоли и т.п.

И как все это вычистить?

Ссылка

←	Запрет на TTY

Как Вы следите за безопасностью?

→

В случае взлома или все-таки в случае налета «маски шоу»? :)

~~Quadmonster~~ ★
(28.05.13 13:04:34 MSK)

Любой может узнать локальные логины сделав лишь ls /home/, если не указана иная директория для пользователей.

~~Quadmonster~~ ★
(28.05.13 13:05:48 MSK)
Последнее исправление: Quadmonster 28.05.13 13:05:59 MSK (всего исправлений: 1)

команды, вводившиеся в консоли

Запрети писать в .bash_history

~~Quadmonster~~ ★
(28.05.13 13:06:40 MSK)

Ответ на: комментарий от Quadmonster 28.05.13 13:04:34 MSK

Нет, маски шоу - это вряд ли, но, в принципе, тоже интересно.

afanasiy ★★★★
(28.05.13 13:06:57 MSK) автор топика

Ответ на: комментарий от Quadmonster 28.05.13 13:05:48 MSK

Любой может узнать локальные логины сделав лишь ls /home/

А где пишется кто и в какое время логинился?

afanasiy ★★★★
(28.05.13 13:09:14 MSK) автор топика

Ответ на: комментарий от afanasiy 28.05.13 13:06:57 MSK

truecrypt используй, шифруй /home; заведи отдельный хард под данные, уходя забирай с собой (hot-plug sata не забудь включить).

~~Quadmonster~~ ★
(28.05.13 13:09:19 MSK)

Шифрование рута и данных, SquashFS и стирание любых изменений после ребута (т.к., они будут в ОЗУ), запуск потенциально уязвимых приложений в виртуалке (браузер, IM) + sshfs. Отключение логов отдельных сервисов или вообще, или же дропание определенных логов самим логгером (или наоборот, ведение фильтра для белого списка логов, остальные дропать).

И как все это вычистить?

Когда именно ты хочешь чистить?

Chaser_Andrey ★★★★★
(28.05.13 13:11:22 MSK)

Ответ на: комментарий от Quadmonster 28.05.13 13:09:19 MSK

На самом компе ничего важного не хранится, в /home у юзеров пусто. Интересует только сделать так, чтобы постороннему было не понятно кто и чем на этом компе занимался.

afanasiy ★★★★
(28.05.13 13:11:43 MSK) автор топика

Ссылка

Ответ на: комментарий от Quadmonster 28.05.13 13:04:34 MSK

Достаточно с /home убрать право на исполнение (листинг).

Chaser_Andrey ★★★★★
(28.05.13 13:12:10 MSK)

Ответ на: комментарий от afanasiy 28.05.13 13:09:14 MSK

Время и дата пишутся сюда, ЕМНИП, /var/log/btmp

~~Quadmonster~~ ★
(28.05.13 13:13:21 MSK)

Ссылка

Ответ на: комментарий от Chaser_Andrey 28.05.13 13:11:22 MSK

Предлагаемые вами действия слишком глобальны для моей скромной задачи. Из пушки по воробьям.

Когда именно ты хочешь чистить?

Хочу чистить все следы деятельности пользователей в системе, чем чаще, тем лучше. Скорее всего скриптом в кроне, но только хочу знать, что именно и как вычищать.

afanasiy ★★★★
(28.05.13 13:15:14 MSK) автор топика

Common Linux log files name and usage

/var/log/message: General message and system related stuff
/var/log/auth.log: Authenication logs
/var/log/kern.log: Kernel logs
/var/log/cron.log: Crond logs (cron job)
/var/log/maillog: Mail server logs
/var/log/qmail/ : Qmail log directory (more files inside this directory)
/var/log/httpd/: Apache access and error logs directory
/var/log/lighttpd: Lighttpd access and error logs directory
/var/log/boot.log : System boot log
/var/log/mysqld.log: MySQL database server log file
/var/log/secure: Authentication log
/var/log/utmp or /var/log/wtmp : Login records file
/var/log/yum.log: Yum log files

~~Quadmonster~~ ★
(28.05.13 13:16:09 MSK)

Ссылка

Не работать на комьютере - никаких следов. =)

~~ArturK~~ ★
(28.05.13 13:19:59 MSK)

Ссылка

Ответ на: комментарий от afanasiy 28.05.13 13:15:14 MSK

Лучше их не оставлять. Настрой логгер под свои нужды, убери логи того ПО, которое пишет в /var/log обход логгера и логи могут содержать какую-то приватную инфу.

А далее... просто так на лету чистить сложно, многие программы будут вести себя неадекватно, если во время их работы дропнуть данные из /tmp или /var/tmp, а также из хомяка. А без удаления этих данных в любой момент после взлома система будет содержать компромат, который злоумышленник может получить в следующую секунду. Или ты надеешься, что он полезет ручками исследовать систему без попытки скриптами слить важные данные сразу же?

Chaser_Andrey ★★★★★
(28.05.13 13:52:49 MSK)

Ссылка

Используй LiveUSB и шифруй свое файло в криптованный контейнер.

bubblecore ★★★★
(28.05.13 14:06:43 MSK)

Ссылка

Ответ на: комментарий от Quadmonster 28.05.13 13:06:40 MSK

ээх, учишь учишь, симлин в /dev/null же

anonymous
(29.05.13 13:15:06 MSK)

Ответ на: комментарий от anonymous 29.05.13 13:15:06 MSK

ээх, учишь учишь, симлин в /dev/null же

ln -s /dev/null /var/log/syslog

я правильно понял?

afanasiy ★★★★
(29.05.13 13:33:14 MSK) автор топика

10 июля 2013 г.

Ответ на: комментарий от Chaser_Andrey 28.05.13 13:12:10 MSK

Достаточно с /home убрать право на исполнение

facepalm

ты ещё rm -rf предложи.

(листинг).

~~drBatty~~ ★★
(10.07.13 07:33:13 MSK)

Ответ на: комментарий от afanasiy 29.05.13 13:33:14 MSK

я правильно понял?

не надо так делать. Вообще не нужно скрывать логи. Просто проверь, что туда ничего личного не пишется (по дефолту вроде нигде не пишется).

А для защиты — шифруй /home. Можно для удобства держать ключ на флешке.

Ну если уж совсем плохо с головой, можешь смонтировать /var/log в память (не забудь своп отключить/зашифровать). По идее можно туда и весь /var/ отправить, хотя это неудобно (ВСЕ очереди/системные кеши придётся каждый раз с нуля создавать).

~~drBatty~~ ★★
(10.07.13 07:40:03 MSK)