Empêcher les Keyloggers sur Linux?

Il y a beaucoup de mesures de sécurité à prendre, à commencer par le plus fondamental mais le plus important: bonnes règles de pare-feu. Mais cela peut être très compliqué dans certaines situations. Au lieu de prendre l'approche pour tenter de faire quelque chose de très difficile, pourquoi ne pas prendre la détection facile?

Pour que le keylogger fonctionne de fonctionner, cela nécessiterait un processus actif. Prenez un instantané de vos processus lorsque le système est initialement installé/propre, puis de temps en temps, exécutez une vérification de la liste de processus. Si de nouveaux processus apparaissent, vous pourrez alors détecter rapidement et éliminer toute autre chose. Si vous avez besoin d'exécuter de nouveaux, mettez simplement à jour la liste de processus valide.

Cela peut être fabriqué un peu plus facile: un script pour émettre la liste de processus dans un fichier ou vous pouvez même le prendre un peu plus loin et planifier un script pour comparer les processus en cours d'exécution avec les initiales que vous connaissez être valides.

Un enregistreur clé peut être installé à différents niveaux dans le système avec différentes manières de détection. Vous avez déjà d'autres réponses expliquant qu'il pourrait être installé dans un processus dédié et sur la manière de détecter son activité.

Mais il pourrait également être installé en modifiant la partie du serveur X11 qui traite les entrées du clavier. S'il est présenté comme un complément offrant des capacités supplémentaires telles que l'entrée Simplement sur des caractères non ASCII, XXX Automatic (Mettez votre fonctionnalité la plus attendue ici), il peut même être installé de manière rentrée par l'utilisateur final sur sa propre machine. D'autre, il pourrait être installé (si l'attaquant a réussi à devenir root) au moment du démarrage via un module Init dédié.

Il pourrait également être installé comme module de noyau et surveiller directement l'activité du clavier physique. Les procédures d'installation pourraient être identiques comme cas précédente.

Le seul moyen de sécuriser un système si de toujours suivre toutes les règles de sécurité:

• protégez-le avec un pare-feu strict (facile)
• n'utilisez jamais racine pour faire des tâches simples (ces deux premières règles sont le principe du moindre privilège)
• ne jamais exécuter aucun logiciel non contrôlé dessus

Et ce dernier est le plus difficile à suivre. Bien sûr, je suppose que vous ne téléchargez que des logiciels système et des mises à jour des sources officielles et de contrôler les checksums. Mais ce jeu ou ce jeu ou cet utilité a l'air si mignon ... et dès que quelqu'un vous a fait exécuter du code qui SEM voulait pendant que vous n'auriez plus, ce n'est plus votre Système.

TL/DR: Comme d'habitude, la sécurité ne peut être réduite à des outils technologiques, mais dépend fortement des pratiques humaines ...

Comme indiqué surmind, une solution simple pour commencer serait de vérifier si vous "faites confiance à" vos processus actuellement en cours d'exécution.

Voici un script mignon que j'ai écrit, je l'ai posté sur mon repo github:

https://github.com/holtzilya2008/scripts/tree/master/cleanProc

CleanProc - regarde les processus en cours d'exécution tous les 1 seconde checkproc.sh - vérifie chaque processus s'il est sur mon whitelist.txt Et sinon, il me promène dans le terminal et enregistre les "processus non reconnus" à CleanProc.log

N'oubliez pas que tout ce que nous faisons pour nous protéger d'un keylogger, c'est seulement à minimiser le risque. Si quelqu'un voudrait [~ # ~] vraiment [~ # ~] Voulez-vous définir un keylogger sur votre machine sans que vous puissiez remarquer, à la fin, il le fera. Il n'y a pas de protection à 100%.