防止Linux上的键盘记录器？

Question

Linux桌面架构中是否有防止恶意软件键盘记录器的机制？什么是理想的Linux设置，使得攻击者很难在目标系统上安装密钥记录器？

如果你使用X对Wayland对Mir是重要的吗？grsecurity或SELinux或任何其他修补程序如何帮助改善这种情况？

Answer 1

有许多安全措施需要采取，首先是最基本但最重要的:良好的防火墙规则。但在某些情况下，这是非常复杂的。为什么不采取简单的检测方法，而不是试图让某些事情变得非常困难呢？

为了使键盘记录器正常工作，它需要一个活动进程。在系统最初安装/清理时，对您的进程进行快照，然后不时运行进程列表检查。如果出现新的进程，那么您将能够快速检测和消除任何不需要的进程。如果需要运行新进程，只需更新有效的进程列表即可。

这可以变得简单一些:一个将进程列表输出到一个文件的脚本，或者您甚至可以更进一步，并安排一个脚本-运行一个脚本来比较正在运行的进程和您知道的初始进程是否有效。

Answer 2

正如Overmind所说，一个简单的解决方案是检查您是否“信任”您当前正在运行的进程。

这是我写的一个很可爱的脚本，我把它张贴在我的github回购上：

https://github.com/holtzilya2008/scripts/tree/master/cleanproc

每1秒checkproc.sh查看当前运行的进程？？检查每个进程是否在我的whitelist.txt上，如果不是，它会在终端中支持我，并将“未识别的进程”记录到cleanproc.log。

不过，记住，我们为保护自己免受键盘记录器的伤害所做的任何事情，都只是为了将风险降到最低。如果有人真的想在你的机器上设置一个键盘记录器而你没有注意到，他最终会这样做的。没有百分之百的保护。

Answer 3

使用不同的检测方法，可以在系统的不同级别安装密钥记录器。您已经有了其他的答案来解释它可以安装在一个专用的进程中，以及如何检测它的活动。

但是，也可以通过更改X11服务器处理键盘输入的部分来安装它。如果它是一个附加功能，例如对非ascii字符的更简单输入，自动xxx (将您最期望的特性放在这里)，那么它甚至可以由最终用户自愿地安装在它自己的机器上。否则，可以通过专用init模块在启动时安装它(如果攻击者设法成为root用户)。

它还可以作为内核模块安装，并直接监视物理键盘活动。安装过程可能与以前的情况相同。

如果要始终遵循所有安全规则，那么保护系统的唯一方法是：

• 用严格的防火墙保护它(容易)
• 永远不要用根来执行简单的任务(这两条第一条规则是最小特权原则)
• 不要在上面运行任何不受控制的软件。

而后者则更难跟上。当然，我假设您只需要从官方来源下载系统软件和更新，并控制校验和。但是这个游戏或者附加功能看起来很可爱.一旦有人让你执行他想要的代码，而你却没有，它就不再是你的系统了。

TL/DR:与往常一样，安全性不能降低为技术工具，但在很大程度上取决于人类的实践。