Как мне доверять системному значку?
Иногда я замечаю значок уведомления, указывающий на ожидающие обновления, или просто всплывает диспетчер обновлений с просьбой загрузить некоторые обновления. Затем, когда я хочу пройти через это, меня спрашивают мой пароль. На этом этапе, как я узнаю, что значок и окно, с которым я взаимодействую, действительно исходят от подлинного менеджера обновлений, а не от какого-то мошеннического процесса, визуально имитирующего его для получения моего пароля? Обратите внимание, что это общий вопрос, который выходит за рамки только диспетчера обновлений. Какой самый простой способ проверить источник окна?
2 ответа
Вы всегда можете проверить /var/log/auth.log
, Каждый запрос на аутентификацию будет идти в журнал. Вот, например, запись, когда я вручную открыл менеджер обновлений и отменил его, когда всплывающее окно запросило обновления:
Sep 30 00:07:13 eagle pkexec[17815]: xieerqi: Executing command [USER=root] [TTY=unknown] [CWD=/home/xieerqi] [COMMAND=/usr/lib/update-notifier/package-system-locked]
И это работает вручную apt-get
:
Sep 30 00:10:24 eagle sudo: xieerqi : 1 incorrect password attempt ; TTY=pts/6 ; PWD=/home/xieerqi ; USER=root ; COMMAND=/usr/bin/apt-get update
Как видите, в поле COMMAND указано, какое приложение запрашивало root-привилегию. Оттуда вы можете проверить целостность этого исполняемого файла, отсканировав его clamav
или аналогичные инструменты. Если вы действительно беспокоитесь о том, что исполняемый файл скомпрометирован, проверьте, например, сумму SHA,
sha1sum /usr/bin/apt-get
Если это как-то изменилось, вы увидите другой вывод sha1sum
,
Наконец, не забывайте практиковать надежную защиту всех - надежные пароли и отсутствие удаленного доступа к вашей системе (если вам это действительно не нужно).
Я думаю, что лучший способ проверить источник окна - использовать решение, аналогичное сообщению PID процесса по его окну?,
Это даст вам понять, из какого процесса идет это окно. Затем вы можете пойти и проверить подлинность процесса, чтобы гарантировать, что он не идет от мошеннической программы. Что-то вроде https://superuser.com/questions/632979/if-i-know-the-pid-number-of-a-process-how-can-i-get-its-name