Das ist ja alles schön und gut, nur wie siehts aus wenn ich den schreibzugriff auf /var/log einfach blockiere und kein Programm läuft? Wie will man dann erkennen was installiert ist? Dann bringen auch top und lsof nix, genausowenig wie ein Portscan.
Die Libraries sind ne feine Sache, dummerweise werden nicht nur in meiner eigenen Library Dinge erstellt, sondern auch in der Systemweiten, unverschlüsselten. Kann man da was dran ändern?
Oder vergess ich da was?
Also naja, wenn du wirklich die Programm nicht starten willst, dann verhinderst du natürlich, dass jemand heraus bekommt, dass der Prozess existiert, weil er ja nicht als Prozess läuft sondern in dem Sinne ja dann eine Datei ist.
Nur macht das dann alles kein Sinn mehr... weil wieso das Programm verstecken, wenn man es gar nicht mehr nutzen kann?!
Also folgende Orte kommen dann natürlich noch in Frage: /usr/lib weil dort alle Bibliotheken für die installierten Programme, aber natürlich auch zusätzliche abgelegt sind. Ob damit ein näheres Schluss möglich ist, welches Programm installiert wurde, ist natürlich fraglich... ansonsten befinden sich da nur noch Header-Dateien und die sollten nichts verraten können.
die /var/log zu lesen ist natürlich ein kluger Schritt. Dort sind eben dann alle Log-Dateien, aber dort dürfte ja dann höchstens die Installation des Programms dokumentiert sein, weil das Programm ja deinerseits nie ausgeführt wurde/wird, falls dieses natürlich über eine Installationsroutine auf die Platte kam.
Es dürfte sonst auch der Spotlight-Index recht interessant sein. Außerdem alle andere Programme, die zum Schnellstarten etc. geeignet sind und auch so konfiguriert. Diese werden alle einen Index irgendwo ablegen. Ich hab aber leider gerade keinen Überblick wo Spotlight seinen verwaltet bzw. platziert und wie die Berechtigungen auf diesen sind. Aber ich denke er sollte nur für Spotlight zugänglich sein.
Ansonsten bringt es sicher etwas eine passwortgeschützte Gruppe anzulegen, alle Dateien in /Library dieser Gruppe zu übergeben und alle anderen auszuschliessen. Die Gruppe müsstest du dann bei auftretenen Problemen wohl öfter erweitern aber hättest einen guten Überblick.
Was du jedoch nicht verhindern kannst, ist wenn jemand deine Festplatte einfach ausbaut und als externen Medium mountet und alle Berechtigungen ignorieren lässt. Er würde zumindest in die /Library irgendwie kommen, zumindest zum lesen.
Eine Verschlüsselung im Sinne eines sparseimages wäre auch undenkbar, da dieses ja vor dem Systemstart bereits gemountet werden müsste...
da befolge lieber KayHHs Vorschlag! Den find ich derzeit echt am besten und werde ich auch bald so befolgen.