如何隐藏Linux操作系统文件夹中的文件

Question

我需要隐藏 Linux 系统文件夹内的文件，并且有足够大的系统文件夹来隐藏这些文件，但我担心如果我强制将文件移动到系统文件夹内的文件夹中，则会在操作系统中引起问题：

/bin      /cdrom    /etc      /opt      /run      /srv    /tmp    /var
/boot     /dev      /home     /proc     /snap     /sys    /usr    etc...

如何在上述系统文件夹中创建任意文件夹，并将我的文件移入其中？

Answer 1

存在用于隐藏文件的产品，这比发明的方法更好。

例如，您可以使用 VeraCrypt，描述如下：

VeraCrypt 是一款用于建立和维护动态加密卷（数据存储设备）的软件。动态加密意味着数据在保存之前自动加密，加载后立即解密，无需任何用户干预。如果不使用正确的密码/密钥文件或正确的加密密钥，则无法读取（解密）加密卷上存储的任何数据。整个文件系统被加密（例如，文件名、文件夹名称、每个文件的内容、可用空间、元数据等）。

安装后的 VeraCrypt 卷看起来是一个单独的磁盘。从外部来看，它可能看起来是一个完全不可读的单个二进制文件，这意味着看起来像随机垃圾。

在极端情况下，VeraCrypt 卷可以隐藏在磁盘上未分配的空间内，因此完全不可见。

安装 VeraCrypt 卷需要首先有人知道它是什么，其次，这个人知道卷密码（或短语密钥）。

Answer 2

\n

如果我强制将文件移动到系统文件夹内的文件夹中，我担心会在操作系统中引起问题：

\n

\n

确切地说，不存在“强行移动”这样的事情。如果强制您的意思是使用“sudo”绕过文件权限，这不一定是您可能遇到的问题的原因 \xe2\x80\x93 仅仅文件可能会产生副作用，而不是来自它们获得的方式那里。

\n

（除此之外，如果 root 是有权写入这些位置的人，如果您查看目录权限，那么您实际上并没有真正“强制”任何东西。）

\n

一个常规的mkdir的应该没问题（作为 root），只要您记住并非所有列出的文件夹都是相同的（也就是说，并非所有文件夹都是磁盘上的普通目录）。

\n

执行此操作之前需要考虑的事项：

\n

\n

• 你在隐藏什么，你向谁隐藏它，你把它隐藏在谁的系统中？例如，如果系统安装了 etckeeper 来跟踪 /etc 的更改，则存储一个大文件与隐藏它完全相反。

  \n

  服务器管理员可能正在使用专门针对“隐藏”文件发出警报的工具（例如/root/.foo）发出警报的工具，因为这通常是恶意软件感染的迹象 \xe2\x80\x93 ，您可以在其中找到加密矿工。其他取证工具将在整个磁盘中搜索“有趣”的文件，无论位置如何。

  \n
\n

• 有问题的文件夹实际上在您的磁盘上吗？并非文件系统中的所有内容都是磁盘位置 \xe2\x80\x93 某些位置上安装了虚拟文件系统（您可以在 中看到findmnt）。例如，/sys上面有 sysfs，它完全是虚拟的，你不能在里面放任意的东西。您列出的几个目录是“tmpfs”挂载，您可以在其中放置任意文件 \xe2\x80\x93 但 tmpfs 内容在重新启动时消失。

  \n

  查看findmnt和/或df -h确认您选择的位置是主要位置的一部分/文件系统的一部分，而不是虚拟文件系统。

  \n
\n

• 您会更改文件夹本身的权限吗？你会把它们改回来吗？（它会产生什么影响？在以错误的方式 chmod'ing /bin 后，您会不小心将自己锁定在 /bin/chmod 之外吗？）

  \n

  为了避免需要更改现有位置的权限，只需使用 root (sudo) 权限来创建子文件夹并更改其权限，以便其他所有操作都可以在无权限的情况下完成。

  \n

  在进行较大更改时，请尝试保持一个（或两个）备用“根”终端打开。也就是说，不仅是您运行的终端sudo，而且是您以 root 身份启动shell的终端，使用sudo -i或sudo bash。通过这种方式，多种更改（例如意外地将 /lib 移到其他地方）更容易撤消。

  \n
\n

• 您会用文件覆盖某些内容吗（例如，如果制表符补全错误）？

  \n

  始终使用mv -i选项在任何内容被意外覆盖之​​前启用确认。

  \n
\n

• 您的新文件或文件夹会导致未来与系统可能创建的内容（例如将来从包中安装的内容）发生冲突

  \n

  （例如，如果您在 /dev/sdc \xe2\x80\x93 中“隐藏”某些内容，且不考虑 /dev 是 tmpfs \xe2\x80\x93 的问题，那么当您连接 USB 记忆棒时会发生什么得到名字“sdc”？）

  \n

  这不一定是个大问题，但这意味着您需要记住您对系统做了什么。

  \n
\n

• 操作系统会意外拾取您的新文件或文件夹吗？在某些位置，任何具有特定文件名的文件都会被自动读取；例如 GRUB 会查找任何/boot/vmlinuz*文件，所以最好情况下，如果您尝试在 /boot/vmlinuz-homework 中隐藏某些内容，GRUB 将开始抱怨无法识别的格式并使文件的存在非常明显。在最坏的情况下，服务可能会停止工作，因为它找到了“配置”并且不理解它。

  \n

  没有单一的方法来识别这些位置，但要避免将随机的东西*.d/特别放入文件夹中（例如，许多服务尝试加载eg something.d/*.conf）。

  \n
\n

\n

Answer 3

您所问的内容意味着您拥有 root 访问权限。这也意味着至少还有一个拥有 root 访问权限的人正在试图躲避您。这也意味着您不是一个特别成熟的用户。

所以，我有一个问题要问你......

您准备好失去对站点上所有计算机的访问权限、被学校开除、失去工作，甚至可能因为您要做的事情而入狱吗？

因为除非你比所有在这里提供答案的人都聪明，否则你会立即被抓住。

三年来，我负责一个拥有数百台政府拥有计算机的设施的安全。由于管理层非常偏执，他们要求我监视所有计算机，以防在任务范围之外使用它们。那时我已经有 10 多年的 Linux 经验了。那是2005年左右的事。

我编写了脚本来检查文件时间戳、幻数、在意外位置创建的新文件、校验和、设备列表、与现有记录不匹配的登录等。外部监控检测到异常端口使用和网络活动。因为这是我的全职工作，如果发现任何情况，他们会立即向我发送电子邮件。他们还登录到远程服务器。

我可以有效地做到这一点，因为每个可能访问这些计算机的人都经过了审查。如果可以进行公共访问，我会编写内核模块而不是脚本。

您必须明白，虽然您的 Linux 系统对您来说可能看起来非常庞大和复杂，但对于比您工资级别高几个级别的人来说，情况并非如此。如果你不对你的硬件进行间谍活动对某人来说确实很重要，那么你会比你想象的更快地受到打击。