Est-ce que l'autre gars est sur toi? S'il a un accès physique ou un accès root, il peut effacer toutes ses traces et même planter un bug à espionner vous . En revanche, certaines traces sont pénibles à effacer, et il est difficile de penser à tout.
Diverses choses sont déjà enregistrées dans les journaux système, généralement dans /var/log
(certains systèmes utilisent un emplacement différent tel que /var/logs
ou /var/adm
). Dans une configuration normale, toutes les connexions et montages sont enregistrés, entre autres. Si vous craignez que les journaux soient effacés, vous pouvez configurer la journalisation à distance (la procédure à suivre dépend de l'implémentation de Syslog, mais il faut généralement une ou deux lignes à modifier dans un fichier de configuration sur l'expéditeur et sur le récepteur).
Si vous ou votre distribution n'avez pas désactivé cette fonctionnalité, chaque fichier a un temps d'accès («atime») qui est mis à jour chaque fois que le fichier est lu. (Si le système de fichiers est monté avec l' option noatime
ou relatime
, atime n'est pas mis à jour.) L'atime peut être simulé touch -a
, mais cela met à jour le ctime, donc il laisse une trace. (Même root ne peut pas supprimer directement cette trace, vous devez contourner le code du système de fichiers.)
Divers programmes ont un historique de session . Il est facile d'enlever ou de simuler, si l'intrus s'est souvenu de le faire. Bash conserve ~/.bash_history
, les navigateurs ont tendance à écrire beaucoup de choses dans leur répertoire de profils, etc. Vous pouvez également trouver des erreurs ou des avertissements dans ~/.xsession-errors
ou dans /var/log/Xorg.0.log
un autre emplacement dépendant du système.
De nombreux appareils ont une fonction de comptabilité des processus ¹. Voir par exemple le manuel des utilitaires de comptabilité GNU , l'entrée dans le manuel FreeBSD ou le guide Linux ou le guide Solaris . Une fois activé, il enregistre quel utilisateur a lancé quel processus quand (il enregistre les execve
appels), et peut-être un peu plus. Il y a beaucoup d'informations intéressantes qu'il ne consigne pas, comme les fichiers auxquels le processus accède.
Si vous souhaitez surveiller tous les accès à un système de fichiers, vous pouvez le fournir via logsfs . Il est très facile de remarquer si le gars pense à regarder.
Il existe des programmes de journalisation plus complets, mais ils peuvent nécessiter une prise en charge supplémentaire du noyau. Sur Solaris, FreeBSD, NetBSD et Mac OS X, il y a dtrace (il y a un port Linux en cours mais je ne sais pas s'il a atteint un stade utilisable). Vous pouvez également tracer des processus spécifiques via une interface vers l' ptrace
appel système, par exemple strace
sous Linux; cela peut induire un ralentissement notable.
¹ Quelque chose qui n'est pas sur Wikipedia? Non, c'est un discours fou.