回答:
システムの他の通常のユーザーから保護したい場合(敵がルートアクセスを持っている場合、すべての賭けはオフです)、原則として安全なアテンションキーを使用できます。
オペレーティングシステムのセキュアアテンションキーは、トロイの木馬のパスワードキャプチャプログラムに対する保護として提供されるセキュリティツールです。これは、ログインアプリケーションになりすます可能性のあるすべてのプログラムを強制終了する無敵の方法です。システムにログインする前に、このキーシーケンスを入力するようにユーザーに教える必要があります。
(Linux 2.4.2 Secure Attention Key(SAK)の取り扱い、Andrew Morton、2001年3月18日)
この関連するU&Lの質問は興味深いかもしれません:システムでSecure Attention Key(SAK)を見つけて無効にするにはどうすればよいですか?
login。そうでない場合、などを取得します。これはバグです。しかし、攻撃者がeuid = 0を持っている場合、とにかくすでに負けています。
まず、WindowsのCtrl+ Alt+ Delログインウィンドウに自信を持っているかどうかはわかりません。これは、割り込みを乗っ取るためのウイルス/トロイの木馬の役割でもあり、その実装は非常に可能です。
第二に、そのようなメカニズムがWindows / Linuxの両方に実装されている場合、管理者権限が確実に侵害されることを意味します。
Linuxでは、誰かが偽のシェルを作成してプロンプトを表示し、資格情報をキャッチした場合、それらの信号がキャッチされてトリックを発見できなければ、基本的なCtrl+ CまたはCtrl+ Zで十分だと思います。また、間違った資格情報を何度か入力すると、通常のタイマー動作からの逸脱を確認するのに役立ちます。
同様に異なるコンソールを切り替えると、トリックを発見する可能性が高くなります。
しかし、いずれにせよ、ログインプロンプト/ウィンドウの信頼性のあらゆるシステムについて100%を確認することはできません。
ctrl+ alt+ F1... F7を使用して他のttyに移動し、そこからログインできます。ctrl+ zまたはctrl+を使用することもできますc。ただし、誰かがこの方法を使用してログイン名とパスワードを盗もうとしている場合でも、だまされている可能性があります。使用しているOS、誰がアクセスしたか、どのようなアクセスをしたかによって異なります。
一般に、100%確信できることは決してありませんが、誰かがこれを行った場合、彼はすでにルートアクセス権を持っていると思います。したがって、あなたのログインデータは彼にとって意味がありません。
コンソールに物理的にアクセスできるユーザー(rootでなくても)は、このような詐欺を行うことができます。
ログインしてssh、ローカルにログインする仮想コンソール上で動作するプロセスを確認します。かどうかgetty(TUIのTTYの場合)または他の正当なディスプレイマネージャ?UID = 0ですか?
2つのいずれかが偽の場合、ホスト名 login:バナーは確実に偽造されます。しかし、州の回答はすでに書かれているので、不正行為者が自分の特権を既ににエスカレートしているのを防ぐことはできませんroot。
簡単な答え:わかりません。
ただし、ログインプロンプトコマンドが置き換えられた場合、攻撃者はマシンのルートアクセス権を持っていることを意味します。この場合、彼/彼女は次のこともできる:
したがって、ログインプロンプトが正当であるかどうかを心配することが重要なポイントです。
一般的なルールとして、セキュリティが侵害されていると思われるマシンにはログインしないでください。
loginルートとして実行されているプログラムではなく、あなたとして実行されている偽のプロンプトを見つけます。実際、実際のloginプログラムが危険にさらされているとは思っていません。
~/bin/fakelogin、exec ~/bin/fakelogin終了して(何らかの理由で)ユーザーアカウントがログアウトされ、実際のログインプロンプトが他のユーザーに表示されるようにします。
$euid=0。