Là người đàn ông khác trên bạn? Nếu anh ta có quyền truy cập vật lý hoặc quyền truy cập root, anh ta có thể xóa tất cả dấu vết của mình và thậm chí gieo một lỗi để theo dõi bạn . Mặt khác, một số dấu vết là một nỗi đau để xóa, và thật khó để nghĩ về mọi thứ.
Nhiều thứ đã được ghi lại trong nhật ký hệ thống, thường là trong /var/log
(một số hệ thống sử dụng một vị trí khác nhau như /var/logs
hoặc /var/adm
). Trong một cấu hình bình thường, tất cả các thông tin đăng nhập và gắn kết được ghi lại, trong số những người khác. Nếu bạn lo lắng về việc nhật ký bị xóa, bạn có thể thiết lập ghi nhật ký từ xa (cách thực hiện việc này tùy thuộc vào việc thực hiện nhật ký hệ thống, nhưng nói chung, một hoặc hai dòng sẽ thay đổi trong tệp cấu hình trên người gửi và trên máy thu).
Nếu bạn hoặc bản phân phối của bạn không vô hiệu hóa tính năng này, mọi tệp đều có thời gian truy cập (tại atime trực tiếp) được cập nhật bất cứ khi nào tệp được đọc. (Nếu hệ thống tập tin được gắn kết với tùy chọn noatime
hoặc relatime
, thì atime không được cập nhật.) Atime có thể được làm giả touch -a
, nhưng điều này cập nhật ctime, vì vậy nó để lại dấu vết. (Ngay cả root cũng không thể xóa trực tiếp dấu vết này, bạn cần bỏ qua mã hệ thống tập tin.)
Các chương trình khác nhau có một lịch sử phiên . Thật dễ dàng để loại bỏ hoặc giả mạo, nếu kẻ xâm nhập nhớ làm như vậy. Bash giữ ~/.bash_history
, các trình duyệt có xu hướng viết nhiều thứ trong thư mục hồ sơ của họ, v.v. Bạn cũng có thể tìm thấy lỗi hoặc cảnh báo trong ~/.xsession-errors
hoặc /var/log/Xorg.0.log
hoặc vị trí phụ thuộc hệ thống khác.
Nhiều đơn vị có một quy trình kế toán ¹ tính năng. Xem ví dụ hướng dẫn sử dụng tiện ích kế toán GNU , mục trong sổ tay FreeBSD hoặc hướng dẫn Linux hoặc hướng dẫn Solaris . Sau khi được bật, nó ghi lại những gì người dùng đã khởi chạy tiến trình khi nào (nó ghi nhật ký execve
cuộc gọi) và có lẽ một chút nữa. Có rất nhiều thông tin thú vị mà nó không đăng nhập, chẳng hạn như các tệp được quá trình truy cập.
Nếu bạn muốn giám sát tất cả các truy cập vào một hệ thống tập tin, bạn có thể cung cấp nó thông qua logfs . Rất dễ để ý nếu anh chàng nghĩ rằng nhìn.
Có nhiều chương trình ghi nhật ký toàn diện hơn, nhưng chúng có thể yêu cầu hỗ trợ kernel bổ sung. Trên Solaris, FreeBSD, NetBSD và Mac OS X, có dtrace (đang có một cổng Linux nhưng tôi không biết liệu nó có đạt đến giai đoạn có thể sử dụng được không). Bạn cũng có thể theo dõi các quy trình cụ thể thông qua giao diện cho lệnh ptrace
gọi hệ thống, ví dụ như strace
trên Linux; nó có thể gây ra một sự chậm lại đáng chú ý.
¹ Cái gì đó không có trong Wikipedia? Không, đó là một cuộc nói chuyện điên rồ.