¿Es posible que un atacante registre mis pulsaciones en un servidor Linux que no tenga un sistema de ventanas X?

1

asumiendo lo siguiente:

  • servidor web accesible públicamente - administrado a través de SSH
  • no se ha instalado ningún sistema de ventanas X y no se reenvía X11 a través de SSH
  • el atacante ha obtenido acceso y puede ejecutar un shell como mi usuario de administrador no root habitual

¿Pueden obtener las contraseñas que escribo en la línea de comandos, por ejemplo,

  • sudo
  • ssh-add some_priv_key
  • contraseñas para acceder a los repositorios de git, etc.

Si es así, ¿hay alguna precaución que pueda tomar para minimizar este riesgo de registro de teclas?

    
pregunta the_velour_fog 06.12.2017 - 07:48
fuente

1 respuesta

3
  

el atacante ha obtenido acceso y puede ejecutar un shell como mi usuario de administrador no root habitual

Si esta es la misma cuenta que usa para realizar operaciones privilegiadas con sudo , entonces el atacante podría realizar cambios en su entorno que lo hacen ejecutar un binario diferente. En el caso más simple, esto sería cambiar PATH, de modo que simplemente escribiendo sudo en realidad no se ejecutaría /usr/bin/sudo sino algunos /home/admin/.attacker/sudo manipulados. Este atacante proporcionó la implementación de sudo y luego podría olfatear su contraseña y luego simplemente iniciar el sudo real.

Pero se puede hacer que sea más sigiloso, como cambiar tu perfil para que genere un shell provisto por el atacante con el registro de clave incluido. O simplemente ejecute script para registrar cada entrada y salida.

  

Si es así, ¿hay alguna precaución que pueda tomar para minimizar este riesgo de registro de teclas?

No permitir usuarios locales en el sistema. Endurecimiento general del sistema. Limite a los usuarios con privilegios especiales (como la capacidad de sudo ) a solo algunas cuentas bien protegidas.

    
respondido por el Steffen Ullrich 06.12.2017 - 08:02
fuente

Lea otras preguntas en las etiquetas