Править: Вообще-то, если задуматься я понял, что, возможно, неправильно понял вопрос. Если Вы хотите, чтобы каталог только был видим определенному пользователю (т.е. для любого пользователя, тот список даже не обнаруживается в списке каталогов), Вы не можете сделать этого, не мешая другим пользователям перечислить содержание родительского каталога. Таким образом, если каталог /foo/bar
затем можно удалить r
разрешение на /foo
(для всех, но владельца) препятствование тому, чтобы другие пользователи перечислили содержание /foo
, но Вы не можете скрыться /foo/bar
конкретно (хотя можно, конечно, скрыть его содержание).
Старый ответ:
Сделайте того определенного пользователя владельцем каталога и затем удалите все полномочия на том каталоге для всех, но владельца. В оболочке Вы использовали бы chmod
сделать это:
chmod 700 the_directory
Если Вы используете filemanager, просто удаляете все галочки на вкладке полномочий кроме тех в "Пользователе" - столбец (точные детали зависят от filemanager, конечно).
Это - длинный список, конечно, Вы не ожидаете, что мы рассмотрим его линию за линией? Нормально иметь много процессов, работающих как корень: системы Unix часто имеют один процесс, чтобы сделать каждое задание, столько системных служб получает свой собственный процесс. На самом деле, некоторые из них (например, весь /0
или /
(число определяет ЦП), и большинство из тех начало k
) потоки ядра.
Если Вы волнуетесь по поводу кого-то получающего контроль над Вашей машиной, ps
не полезный инструмент. Любой промежуточный достойный ¹ руткит содержит код для сокрытия любого злонамеренного процесса от списков процессов. Даже если бы вредоносный код не работал как корень и так не мог бы изменить отчеты о ядре, то он замаскировался бы как что-то безвредное как sh
.
¹ Да, “достойный” может не быть правильное слово здесь.
Идея оценить, является ли процесс злонамеренным на основе своего имени, является идеей, которая устарела для, по крайней мере... хорошо, очень долго ;)
Ложные операции флага, кто-либо?
И тот список не является исчерпывающим. Кроме того, система, которая выполняет вредоносный код с правами суперпользователя, не имеет никакой (технической) проблемы для лжи о Вас.
По крайней мере офлайновый анализ требовался бы. При использовании диспетчера пакетов Вы могли бы сравнить двоичные файлы в их ожидаемых местоположениях против хешей в пакетах (со знаком). В целом это должно оставить только крошечное подмножество двоичных файлов фактическими двоичными файлами для Вас для осмотра помимо многочисленных сценариев. Но даже для сценариев, у тех, которые существуют пакетов, будет сопроводительный хеш, по которому можно проверить двоичный файл.
top
, таким образом, это определенно иногда работает, это может, по крайней мере, быть первый тест
– pietrovismara
21.02.2018, 17:31
Единственный руткит, с которым я когда-либо встречался в дикой природе (в соответствии с Солярисом 8 давным-давно) действительно выполнял сниффера пароля как процесс "lpsched". Проблема состояла в том, что это выполнило двух из них (ошибка в рутките) и выполнило их из каталога, который "человек lpsched" сказал, не был то, где lpsched жил. Кроме того, "PS" был trojaned для не показа дополнительных странных процессов lpsched, но вершина показала им.
Если Вы действительно заинтересованы, смотрите на весь PIDs в/proc. Посмотрите на то, с чем связывается/proc/$PID/exe, для наблюдения, где исполняемый файл действительно живет. Двойная проверка, что против того, где исполняемый файл должен жить. Попробуйте "ls" на всех каталогах, Вы находите, что способ видеть, показывает ли "ls" им всем. "ls", не показывающий каталог, является мертвой дешевой распродажей, что что-то неправильно.
Если какой-либо определенный процесс кажется подозрительным, получите chkrootkit (http://www.chkrootkit.org/) и охотник за руткитом (http://www.chkrootkit.org/) и судите их, чтобы видеть, находят ли они что-нибудь. Необходимо знать, что некоторое плавание руткитов вокруг в дикой природе, но никогда не становились объединенными в тех охотниках за руткитом.