可以更改里面的内容auth.log吗?我读到过黑客可以更改它,这样就不会留下任何痕迹,但我还没有找到明确的答案或任何可以解释或显示篡改迹象的东西。
答案1
/var/log/auth.log归 拥有syslog:adm,并得到 的许可0640,因此:
- 只有用户
syslog可以写入文件 - 用户
syslog和组中的任何成员adm都可以读取文件的内容 - 其他人都无法读取或写入该文件
- 任何人都无权执行,因为它应该是纯文本日志文件
因此,正如您所看到的,更改即写入文件的唯一方法是:
- 以用户身份运行进程
syslog - 或者
root可以在系统中的任何地方做任何事情
对于外部人员/破解者来说,要想闯入并更改日志文件,他们需要如上所述的足够权限。
例如,他们可以使用特权提升漏洞、零日攻击(主要取决于目标值)、或简单的密码暴力破解或其他方法以特权用户身份进入。
如果他们能进入,您就有比更改任何日志文件内容更重要的事情要担心。从本质上讲,那将不再是您的计算机。
答案2
每个文件都有一组特定的访问权限。只有拥有权限的用户才能修改文件
,而普通用户则不能。因此,对于希望修改此文件内容以消除其行为痕迹的黑客或攻击者来说,他需要拥有权限。 因此,他将尝试利用已知且未修补的漏洞或一些新的未知零日漏洞来使用一些特权升级攻击。/var/log/auth.logrootroot