假设您将一个不受信任的 USB 记忆棒插入您的 Linux 机器(作为用户)并浏览和复制一些文件(可能使用图形界面)。
USB 记忆棒被移除后(您不再可用),您需要检查哪些内容(例如特定的日志文件)来查看该记忆棒是否对我的系统进行了恶意操作。
显然,这不会检测到所有可能的攻击,并且显然最好的想法就是不要将棒连接到您的电脑,但在这种情况下最好的做法是什么(除了重新安装系统)?
答案1
在我所知道的桌面环境中,没有从可移动设备默认自动启动的东西。因此,执行的唯一恶意代码是文件系统中的错误(不太可能)和用于打开文件的应用程序中的错误。我会搜索所使用的程序(如 LibreOffice 等)中已知的安全问题。在哪里可以找到这些取决于程序和发行版。
另一个想法,假设您只使用棒并仅使用用户权限而不是root打开文件,我会将所有具有root权限的文件复制到另一个位置,这些文件仅是有效负载(如文档,图片,音乐等)到另一个位置,清空主目录,将 /etc/skel/* 复制到其中,将保存的数据移回并以“干净”的主目录重新开始。
对安全性的偏执并不是完全错误的,但实际上,当没有来自棒子的二进制文件/脚本运行时,更新的 Linux 安装应该没问题。
正如乔费尔指出的那样,棒上的恶意固件可能存在问题。您应该看到,syslog(和 dmesg?不确定)中是否有关于除 USB 驱动器之外的已连接 USB 设备的任何提示。
现在,驱动器有可能安装了键盘记录器或恶意 su/sudo,并且您希望在 DE 中获得 root 访问权限(从用户环境输入 root 密码),并且您的日志已被更改。当设备有机会获得 root 权限时,除了重新安装之外没有其他方法可以确保安全。