Czy ten drugi facet do ciebie pasuje? Jeśli ma dostęp fizyczny lub root, może usunąć wszystkie swoje ślady, a nawet zasadzić na tobie błąd . Z drugiej strony, niektóre ślady są uciążliwe do usunięcia i trudno o wszystkim myśleć.
Różne rzeczy są już zapisane w logach systemowych, zwykle w /var/log
(niektóre systemy używają innej lokalizacji, takiej jak /var/logs
lub /var/adm
). W normalnej konfiguracji wszystkie logowania i podłączenia są rejestrowane, między innymi. Jeśli obawiasz się, że dzienniki zostaną skasowane, możesz skonfigurować rejestrowanie zdalne (sposób wykonania tego zależy od implementacji syslog, ale zazwyczaj zmiana jednego lub dwóch wierszy w pliku konfiguracyjnym na nadawcy i odbiorcy).
Jeśli Ty lub Twoja dystrybucja nie wyłączyłeś tej funkcji, każdy plik ma czas dostępu („atime”), który jest aktualizowany za każdym razem, gdy plik jest czytany. (Jeśli system plików jest zamontowany z opcją noatime
lub relatime
, atime nie jest aktualizowany.) Atime można sfałszować touch -a
, ale to aktualizuje ctime, więc pozostawia ślad. (Nawet root nie może bezpośrednio usunąć tego śladu, musisz ominąć kod systemu plików.)
Różne programy mają historię sesji . Łatwo go usunąć lub sfałszować, jeśli intruz o tym pamiętał. Bash utrzymuje ~/.bash_history
, przeglądarki mają tendencję do pisania wielu rzeczy w swoim katalogu profili i tak dalej. Możesz również znaleźć informacje o błędach lub ostrzeżeniach w ~/.xsession-errors
lub w /var/log/Xorg.0.log
innej lokalizacji zależnej od systemu.
Wiele jednorożców ma funkcję rozliczania procesów ¹. Zobacz na przykład podręcznik narzędzi księgowych GNU , pozycję w podręczniku FreeBSD lub instrukcje dla systemu Linux lub przewodnik Solaris . Po włączeniu rejestruje, który użytkownik uruchomił jaki proces, kiedy (loguje sięexecve
połączenia) i być może nieco więcej. Jest wiele interesujących informacji, których nie rejestruje, takich jak pliki uzyskiwane przez proces.
Jeśli chcesz monitorować wszystkie dostępy do systemu plików, możesz zapewnić je poprzez loggedfs . Bardzo łatwo zauważyć, że facet myśli.
Istnieją bardziej wszechstronne programy rejestrujące, ale mogą wymagać dodatkowej obsługi jądra. W systemach Solaris, FreeBSD, NetBSD i Mac OS X istnieje dtrace (trwa port Linux, ale nie wiem, czy osiągnął on użyteczną fazę). Można również śledzić określone procesy za pośrednictwem interfejsu ptrace
wywołania systemowego, na przykład strace
w systemie Linux; może powodować zauważalne spowolnienie.
¹ Coś, czego nie ma w Wikipedii? Nie, to szalona rozmowa.