Проверка изменений в живых операционных системах Linux

253
unseen_rider

Я новичок в терминале Linux OS (например, Kali Linux).

Посоветуйте пожалуйста что

1) во встроенных программах (например, Syslog ...),

2) Команды в Терминале (например, ls, ps, md5sum, ...)

можно использовать для проверки изменений в Live OS (начиная с загрузки с диска)? IE проверяет целостность. Я заинтересован в том, чтобы перейти на уровень ядра.

0
Что именно вы хотите обнаружить? Изменения в файлах, которые находятся на live CD / USB? Вы пытались "найти" с одним из вариантов времени? Я думаю, что `-mtime` и` -ctime` имеют то, что вам нужно. Neil Smithline 8 лет назад 0
хотя вы используете Kali, это лучше подходит для форума linux / server. schroeder 8 лет назад 1
Посмотрите на tripwire wireghoul 8 лет назад 0

2 ответа на вопрос

0
Mark

LiveCD обычно работают одним из двух способов:

  1. Они монтируют корневую файловую систему с компакт-диска, а затем добавляют tmpfsоснованные на файловых системах места (например, /varили /home), которые должны быть изменены. В этом случае все просто: основные файлы не изменились, поскольку они не находятся в файловой системе с возможностью записи.

  2. Они монтируют корневую файловую систему с компакт-диска, а затем добавляют оверлейную файловую систему, которая перенаправляет все изменения в ОЗУ. В этом случае лучший способ проверить наличие изменений - это посмотреть документацию по используемой файловой системе с наложением и посмотреть, как проверить ее на наличие изменений.

Обратите внимание, что в любом случае злоумышленник может скрыть изменения от вас, вмешавшись в инструменты, которые вы собираетесь использовать. Вы не можете проверить систему на целостность изнутри системы. Вы должны осмотреть это снаружи.

Итак, как можно проверить целостность работающей системы извне? unseen_rider 8 лет назад 0
Зависит от того, как вы смотрите на это со стороны (виртуальная машина против дампа памяти против ....), и это нетривиальное упражнение. Mark 8 лет назад 0
какие условия поиска я должен использовать, чтобы изучить это дальше? unseen_rider 8 лет назад 0
-1
brainsandwich

Вы должны использовать journalctl . Он рассказывает вам вещи, которые произошли в systemd с тех пор. Не знаю, есть ли на Kali и LiveCD

Похожие вопросы