Como saber se o login do console é genuíno?

Supondo que você deseja estar protegido contra outros usuários normais do sistema (se o adversário tiver acesso root, todas as apostas estão desativadas), poderia, em princípio, usar uma atenção segura chave :

An operating system's Secure Attention Key is a security tool which is provided as protection against trojan password capturing programs. It is an undefeatable way of killing all programs which could be masquerading as login applications. Users need to be taught to enter this key sequence before they log in to the system.

( Manuseio do Linux 2.4.2 Secure Attention Key (SAK), Andrew Morton, 18 de março de 2001 )

Esta pergunta sobre U & L relacionada pode ser de interesse: Como posso encontrar a Secure Attention Key (SAK) no meu sistema e posso desativá-lo?

Primeiro de tudo, não tenho certeza se você pode ter certeza da janela de login Ctrl + Alt + Del no Windows, este é também o papel de um vírus / trojan para seqüestrar a interrupção, e implementá-lo é muito possível.

Segundo, se tal mecanismo for implementado tanto no Windows / Linux, isso significa que os privilégios de administrador são certamente comprometidos.

No Linux, se alguém escreveu um shell falso para exibir um prompt e capturar suas credenciais, eu acho que Ctrl + C ou Ctrl + Z pode ser suficiente, se esses sinais não forem capturados para descobrir o truque. Também inserir credenciais erradas várias vezes pode ajudá-lo a ver qualquer desvio do comportamento normal do cronômetro.

Alternar entre consoles diferentes também aumenta a probabilidade de descobrir o truque.

Mas, em qualquer caso, você não pode ter certeza de 100% sobre qualquer tipo de sistema de confiabilidade do seu prompt de login / janela.

Você pode usar ctrl + alt + F1 ... F7 para entrar em outro tty, e faça o login a partir daí. Você também pode usar ctrl + z ou ctrl + c . No entanto, se alguém estiver tentando roubar seu login e senha usando esse método, ainda é possível que você esteja sendo enganado. Depende de qual sistema operacional você está usando, quem teve acesso a ele e que tipo de acesso ele tinha.

Geralmente, você nunca pode ter 100% de certeza, mas se alguém fez isso, eu suponho que ele já tenha acesso root - então seus dados de login não teriam sentido para ele.

Um usuário (mesmo que não seja root) com acesso físico ao console pode fazer isso.

Faça o login através de ssh e verifique quais processos operam em um console virtual que você deseja efetuar login localmente. Se é getty (para uma TUI tty) ou outro gerenciador de exibição legítimo? Tem UID = 0?

Se algum de dois for falso, o banner nome do host login: certamente será forjado. Mas, como as respostas do estado já foram escritas, não ajuda o criminoso a ter seus privilégios escalados para root .

Resposta curta: você não pode dizer.

Mas se o comando de prompt de login tiver sido substituído, significa que o invasor tem acesso root na máquina. Nesse caso, ele também poderia:

• instalaram um keylogger para roubar sua senha. Você pode atenuar o problema usando uma senha exclusiva para que o invasor não consiga acessar outros serviços on-line que você usa;
• faça login como você (ou como qualquer outro usuário) na máquina, simplesmente alterando a senha ou acessando os arquivos do seu (ou de qualquer outra pessoa).

Portanto, preocupar-se se o prompt de login é legítimo ou não é um ponto discutível.

Como regra geral, você não deve fazer login em uma máquina que acredita estar comprometida.