>> до интересного файла - это разве нетривиально?
> Да, ибо вариантов как и что может быть смонтировано - туева хуча.Определить точку монтирования раздела, на котором лежит нужный файл, очень просто. Перемонтировать с remount,rw - ещё проще. Нет тут никакой "туевой хучи" факторов. Нет. Точка. Попытайтесь уже сами представить алгоритм определения раздела и перемонтирования и попробуйте найти место, о котором можно сказать: вот здесь высока вероятность таких-то проблем. Нет там таких мест. А ваша уверенность в обратном только ставит ситуацию с головы на ноги и показывает, насколько легковерны админы, и чего на самом деле стоят их "извращения".
> А если какой-то админ начнет ивзращаться - туева хуча в квадрате.
> Полный парсер который ничего не сломает даже в краевых ситуациях не
> совсем тривиален, а если что-то отвалится, админ тут же попрется смотреть
> - WTF. Что явно не в интересах руткитчиков.
Не нужен там никакой "парсер". Что он там должен парсить? Список разделов и точек монтирования? Пути до файлов?
> Всех вариантов что, откуда и как может быть замонтировано - довольно много.
> И все-равно на кравевых случаях проблемы будут.
Вариантов очень много, но сложности в деплое руткита они не прибавляют. Перемонтировать раздел - это так же просто и очевидно, как снять атрибут immutable с конечного файла. И не многим проще, чем отключить LSM и любые MAC-системы на их базе, располагая подходящей уязвимостью в ядре.
Кроме того, руткит вполне может плакаться родителю о любых провалах. Хотите поставить на то, что папе лень будет зайти на сервер, убрать препятствия, задеплоить руткит и включить обход этих препятствий в следующей версии?
>> На практике никто никаких фокусов не откалывает.
> Ну если рассчитывать на сферического админа в вакууме - да. Поэтому и
Даже хитрые и несферические больше треплются, чем реально что-то делают. Потому что как истинные неуловимые джо привыкли мыслить на лучших случаях - надеяться на авось, иными словами. Тогда как общепринятые практики с сфере ИБ совершенно другие, и никакой тайны не составляют - было бы желание прочитать и понять.
> упомянутый фокус никто не учитывает. Так что тем админам кто не
Откуда вы знаете, учитывает или нет? Я видел rescue-скрипты от хостеров, которые учитывают подобные проблемы, а вы рассуждаете в глобальных категориях: "никто"... Авось никто, ага.
> хочет автоматизированные заразы - логично менять конфигурацию системы с дефолтов.
> Желательно наименее предсказуемым образом. И мониторить все это.
Менять надо целенаправленно и с пониманием того, зачем именно производится каждое изменение. А не просто в надежде на "авось как-то помешает".
> Обновление системы может делаться под чутким присмотром админа, опять же. Ну и
> вообще, лучший метод от козлов - неожиданность, как-то так: http://dihalt.ru/gazenvagen.html
А вы сами пробовали обновить ПО на корневом squashfs-разделе без перезагрузки системы? Этот метод создаёт гораздо больше проблем, чем решает.
> Именно дебиан на ридонли - ну да, редкая штука. А сам я
А знаете, почему? Система становится практически неюзабельной. А реальных результатов, помимо поводов для надежды на авось, это не даёт. Пока система работает - работает и руткит, даже если он неперсистентный, а после перезагрузки системы у взломщика есть хороший шанс проникнуть на неё повторно, до следующего перезапуска. Многие даже отдают предпочтение неперсистентным руткитам - чтобы не палить инструментарий в случае ухода машины на аудит.
> больше предпочитаю виртуалки и контейнеры. Что тоже неплохо :)
Без рассмотрения конкретной ситуации не ясно, плохо это или нет. Виртуалки и контейнеры широко известны в узких кругах как хороший способ положить все яйца в одну корзину.