如何从 root 保护我的用户密码和密码

Nik*_*ris 5 security root privacy

如何在我sudo有权但管理员自然也拥有远程 root 访问权限的计算机中安全地访问“我的”Web 服务和帐户?

细节

我使用连接到(大型)封闭/受限局域网的桌面。即使登录到系统也只有在连接到 LAN 时才能成功。

当然,管理员具有远程 root 访问权限(我建议更改并选择基于 ssh 密钥的无密码身份验证)。同样,我的用户 ID 被分配给 sudoers 组,即在/etc/sudoers文件中,有:

userid ALL=(ALL) NOPASSWD: ALL
Run Code Online (Sandbox Code Playgroud)

我对使用我的密码访问我的网络邮件客户端和我的 firefox 帐户犹豫不决。和更多。

问题

  • 我该怎么做才能确保访问外部 Web 服务的密码不受除我以外的任何人的保护?

  • 例如,既然我有sudo权限,我如何确保没有键盘记录器在运行?

  • 我基于 SSH 密钥访问无密码的各种服务。如何保护我的密码不被记录?

  • 在这种用例中,2FA 访问外部服务是否安全?

  • 是否有一系列“使用其他人可以远程访问的基于 Linux 的计算机的安全实践root?”

dr_*_*dr_ 26

你不能。

root 用户拥有对机器的完全访问权限。这包括运行键盘记录器、读取任何文件、导致您运行的程序执行某些操作而不在用户界面中显示它们的可能性……这是否可能发生取决于您的环境,因此我们无法告诉您。由于会话劫持的可能性,即使 2FA 也不安全。

一般来说,如果您怀疑一台机器不安全,则不应使用它来访问您的服务。

  • 请注意,您不能真正信任任何东西。`w` 可以替换为 `w | grep -v shadyuser` 甚至重新编译以隐藏某些用户当前正在执行的内容。 (7认同)
  • 好吧,您可能会检查所有进程并检查它们在做什么,但是如果 root 决定隐藏它,那么发现键盘记录器将是一项艰巨的任务。关于你的第二句话:`w` 告诉你任何用户当前运行的命令是什么。您还可以检查任何用户的 shell 命令历史记录。 (2认同)
  • @NikosAlexandris 这几乎是不可能的,基本上是猫鼠问题。root 可以在不同的进程名称下运行键盘记录器。您可以检查所有 root 进程的“恶意软件”汇编程序代码。他们可以修改允许您读取原始内存的程序,以便它不会显示该进程是恶意软件。您可以移植自己的此类程序。等等——我必须继续吗? (2认同)
  • @dr01,rootkits——将以前的非恶意环境变成恶意环境的软件包,*包括*隐藏工具(包括修补内核以使其不显示在`ps`的procfs和sysfs接口中, `top` 等使用),是非常存在的东西,它们通常作为恶意软件感染的一部分以编程方式安装。也就是说 - 不,并不是那么不可能。 (2认同)