L'altro ragazzo è con te? Se ha accesso fisico o l'accesso di root, può cancellare tutte le sue tracce e anche piantare un bug per spiare voi . D'altra parte, alcune tracce sono un dolore da cancellare ed è difficile pensare a tutto.
Varie cose sono già registrate nei registri di sistema, in genere in /var/log
(alcuni sistemi usano una posizione diversa come /var/logs
o /var/adm
). In una configurazione normale, tutti gli accessi e i montaggi vengono registrati, tra gli altri. Se sei preoccupato per la cancellazione dei log, puoi impostare la registrazione remota (come farlo dipende dall'implementazione di syslog, ma in genere è una o due righe da cambiare in un file di configurazione sul mittente e sul destinatario).
Se tu o la tua distribuzione non avete disabilitato questa funzione, ogni file ha un tempo di accesso ("atime") che viene aggiornato ogni volta che il file viene letto. (Se il filesystem è montato con l' opzione noatime
o relatime
, l'atime non viene aggiornato.) L'atime può essere simulato touch -a
, ma questo aggiorna il tempo di utilizzo, quindi lascia una traccia. (Anche root non può rimuovere direttamente questa traccia, devi bypassare il codice del filesystem.)
Vari programmi hanno una cronologia delle sessioni . È facile da rimuovere o falsificare, se l'intruso si è ricordato di farlo. Bash continua ~/.bash_history
, i browser tendono a scrivere un sacco di cose nella loro directory del profilo e così via. È inoltre possibile trovare raccontando errori o avvisi in ~/.xsession-errors
o /var/log/Xorg.0.log
o altro luogo dipendente dal sistema.
Molti unices hanno una funzione di contabilità di processo ¹. Vedi ad esempio il manuale delle utility di contabilità GNU , la voce nel manuale di FreeBSD o il howto di Linux o la guida di Solaris . Una volta abilitato, registra quale utente ha avviato quale processo (registra le execve
chiamate) e forse un po 'di più. Ci sono molte informazioni interessanti che non registra, come i file a cui accede il processo.
Se si desidera monitorare tutti gli accessi a un filesystem, è possibile fornirlo tramite loggfs . È molto facile notare se il ragazzo pensa di guardare.
Esistono programmi di registrazione più completi, ma potrebbero richiedere un supporto kernel aggiuntivo. Su Solaris, FreeBSD, NetBSD e Mac OS X, c'è dtrace (c'è una porta Linux in corso ma non so se ha raggiunto uno stadio utilizzabile). È inoltre possibile tracciare processi specifici attraverso un'interfaccia per la ptrace
chiamata di sistema, ad esempio strace
su Linux; può indurre un notevole rallentamento.
¹ Qualcosa che non è in Wikipedia? No, è un discorso folle.