attacker has gained access and is able to run a shell as my regular non-root admin user
Se si tratta dello stesso account che usi per eseguire operazioni con privilegi con sudo
, l'utente malintenzionato potrebbe apportare modifiche al tuo ambiente che ti faranno eseguire un binario diverso. Nel caso più semplice, questo cambierebbe PATH in modo che digitando solo sudo
in realtà non si eseguisse /usr/bin/sudo
ma alcuni triturati /home/admin/.attacker/sudo
. Questo utente malintenzionato ha fornito l'implementazione di sudo, quindi ha annusato la tua password e quindi ha appena avviato il vero sudo.
Ma uno può renderlo più furtivo, come cambiare il tuo profilo in modo che generi una shell malintenzionata fornita con la registrazione delle chiavi inclusa. Oppure esegui solo script per registrare ogni input e output.
If so, are there any precautions I can take to minimise this keylogging risk?
Non consentire agli utenti locali sul sistema. Indurimento generale del sistema. Limita gli utenti con privilegi speciali (come la capacità di sudo
) solo ad alcuni account ben protetti.