保护 wtmp 文件

保护 wtmp 文件

我想知道是否可以保护 /var/log/wtmp 文件以防止有人修改/删除它。我注意到使用“chattr +a /var/log/wtmp”不起作用。是否有已知的方法来保护该文件?

Linux 上是否还有其他重要文件我也应该尝试保护以防黑客攻击?

(到目前为止我所做的只是 chattr +a ~user/.bash_history 和 chattr +i /etc/services。)

答案1

是否有已知的方法可以保护该文件?

在大多数发行版中,该文件已仅可由组写入utmp,这意味着只有某些程序(通常是终端仿真器)可以编辑它。您甚至可以从所有程序中删除“setgid”位,这将限制已以 root 身份运行的程序(即 sshd、/sbin/login、XDM)的编辑权限。

Linux 上是否还有其他重要文件我也应该尝试保护以防黑客攻击?

让您的 syslog 守护程序将日志发送到单独的机器。另外,保持系统最新。考虑使用防火墙、SELinux、AppArmor、grsec。

chattr +a ~用户/.bash_history

没用。用户可以轻松告诉 bash 在其他地方写入历史记录,甚至运行与 bash 不同的 shell。(有些地方放在readonly HISTFILE/etc/bashrc 中;这仍然很容易绕过。)

chattr +i /etc/services

无用。/etc/services仅用于一个目的:将端口号转换为服务名称并转换回(例如在netstat输出中);很难以恶意方式修改。您的系统上还有更多敏感文件,包括内核本身、内核模块、PAM、sshd、基本实用程序等ls……(此外,只有 root 才能编辑该文件。)

相关内容