Verificando alterações no sistema operacional Linux ao vivo

0

Eu sou um novato para o terminal do Linux ao vivo OS (por exemplo, Kali Linux).

Por favor, informe o que

1) em programas criados (por exemplo, Syslog ...),

2) Comandos no terminal (por exemplo, ls, ps, md5sum, ...)

pode-se usar para verificar as alterações no sistema operacional ao vivo (desde a inicialização do disco)? I.E. verificações de integridade. Estou interessado em descer ao nível do kernel no escopo.

    
por unseen_rider 20.05.2015 / 22:15

2 respostas

0

Os LiveCDs geralmente funcionam de duas maneiras:

  1. Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam sistemas de arquivos baseados em tmpfs para locais (como /var ou /home ) que devem ser modificados. Nesse caso, é simples: os arquivos principais não foram alterados, pois não estão em um sistema de arquivos gravável.

  2. Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam um sistema de arquivos de sobreposição que redireciona todas as modificações para a RAM. Nesse caso, a melhor maneira de verificar as alterações é consultar a documentação do sistema de arquivos de sobreposição em uso e ver como inspecioná-lo em busca de alterações.

Observe que, em ambos os casos, um invasor pode ocultar as alterações feitas por você, violando as ferramentas que você pretende usar. Você não pode examinar um sistema quanto à integridade de dentro do sistema. Você deve inspecioná-lo de fora.

    
por 21.05.2015 / 03:51
-1

Você deve usar journalctl . Ele conta coisas que aconteceram no systemd desde sempre. Não sei se está em Kali e LiveCDs

    
por 21.05.2015 / 13:12