Ze względów prywatności chcę utworzyć konto, które jest niewidoczne dla innych użytkowników (nawet innego administratora) i do którego można uzyskać dostęp tylko poprzez bezpośrednie wpisanie nazwy użytkownika. Czy to możliwe?
Co ten użytkownik musi robić (np. Uruchamiać aplikacje z odziedziczonym środowiskiem systemu operacyjnego lub bez niego - dyski mapowane, IP systemu lub inne cechy zewnętrzne) i jakie działania muszą być niewidoczne dla systemu i / lub administratora?
belacqua,
Odpowiedzi:
9
Ponieważ każdy użytkownik musi mieć hasło w /etc/passwdodpowiedzi, nie. Każdy z dostępem do konta root może zobaczyć zawartość pliku, a zatem wiedzieć o nim. Nawet jeśli korzystasz z usług katalogowych, takich jak ldap, użytkownik musi być gdzieś zarejestrowany.
Jeśli chodzi o ukrywanie się przed innymi użytkownikami komputerów, możesz zrobić kilka rzeczy, aby to utrudnić. Wyłączenie listy użytkowników w gdm jest jednym z nich. Prawdopodobnie chcesz także umieścić katalog domowy w innym miejscu niż /home. Ale ktoś z odrobiną wiedzy może nadal być w stanie się dowiedzieć.
Narzędzia GUI ignorują konta o identyfikatorze użytkownika <1000, które są zarezerwowane dla kont systemowych. Podaj konto nieużywany identyfikator użytkownika w tym zakresie, a nie pojawi się on w narzędziach GUI. Poza łataniem backdoora do programu logowania, nie można ukryć go przed narzędziami wiersza poleceń lub bezpośrednią kontrolą / etc / passwd.
Możesz mieć użytkowników powłoki bez katalogu domowego:
useradd --no-create-home new_username
Ale to prawdopodobnie nie pozwoli tego uniknąć, jeśli będziesz mieć możliwość zalogowania się z tym użytkownikiem. Jak mówi Carsten, w pewnym momencie zawsze będzie ślad do użytkownika, ponieważ system musi je uwierzytelnić.
Jeśli tylko próbujesz ukryć kogoś przed ekranem logowania, to dość proste .
Być może stycznym, ale superparanoidalnym sposobem posiadania ukrytego użytkownika byłoby posiadanie zaszyfrowanej partycji (być może na pamięci USB lub innym urządzeniu przenośnym) z pewną kombinacją - ukrytych plików (danego), ukrytych skryptów (do proxy lub ukryj wykorzystanie danych lokalnych i / lub internetowych), ukryty system operacyjny / VM. Pamiętaj, że jeśli chcesz zakryć swoje ślady, może być konieczne zaciemnienie lokalnego użycia pliku, danych pamięci i aktywności tcp / ip.
encrypt-fs jest zawarty w najnowszych wydaniach Ubuntu. Inną opcją jest coś w rodzaju Truecrypt (którego używałem, ale obecnie go nie używam), który pozwala robić szalone rzeczy, takie jak „[zapewnić] prawdopodobną zaprzeczenie, na wypadek, gdyby przeciwnik zmusił cię do ujawnienia hasła: [przez] Ukryty wolumin (steganografia ) i ukryty system operacyjny. ”
Odpowiedzi:
Ponieważ każdy użytkownik musi mieć hasło w
/etc/passwdodpowiedzi, nie. Każdy z dostępem do konta root może zobaczyć zawartość pliku, a zatem wiedzieć o nim. Nawet jeśli korzystasz z usług katalogowych, takich jakldap, użytkownik musi być gdzieś zarejestrowany.Jeśli chodzi o ukrywanie się przed innymi użytkownikami komputerów, możesz zrobić kilka rzeczy, aby to utrudnić. Wyłączenie listy użytkowników w gdm jest jednym z nich. Prawdopodobnie chcesz także umieścić katalog domowy w innym miejscu niż
/home. Ale ktoś z odrobiną wiedzy może nadal być w stanie się dowiedzieć.źródło
Narzędzia GUI ignorują konta o identyfikatorze użytkownika <1000, które są zarezerwowane dla kont systemowych. Podaj konto nieużywany identyfikator użytkownika w tym zakresie, a nie pojawi się on w narzędziach GUI. Poza łataniem backdoora do programu logowania, nie można ukryć go przed narzędziami wiersza poleceń lub bezpośrednią kontrolą / etc / passwd.
źródło
Możesz mieć użytkowników powłoki bez katalogu domowego:
Ale to prawdopodobnie nie pozwoli tego uniknąć, jeśli będziesz mieć możliwość zalogowania się z tym użytkownikiem. Jak mówi Carsten, w pewnym momencie zawsze będzie ślad do użytkownika, ponieważ system musi je uwierzytelnić.
Jeśli tylko próbujesz ukryć kogoś przed ekranem logowania, to dość proste .
źródło
Być może stycznym, ale superparanoidalnym sposobem posiadania ukrytego użytkownika byłoby posiadanie zaszyfrowanej partycji (być może na pamięci USB lub innym urządzeniu przenośnym) z pewną kombinacją - ukrytych plików (danego), ukrytych skryptów (do proxy lub ukryj wykorzystanie danych lokalnych i / lub internetowych), ukryty system operacyjny / VM. Pamiętaj, że jeśli chcesz zakryć swoje ślady, może być konieczne zaciemnienie lokalnego użycia pliku, danych pamięci i aktywności tcp / ip.
encrypt-fs jest zawarty w najnowszych wydaniach Ubuntu. Inną opcją jest coś w rodzaju Truecrypt (którego używałem, ale obecnie go nie używam), który pozwala robić szalone rzeczy, takie jak „[zapewnić] prawdopodobną zaprzeczenie, na wypadek, gdyby przeciwnik zmusił cię do ujawnienia hasła: [przez] Ukryty wolumin (steganografia ) i ukryty system operacyjny. ”
źródło