Em nosso ambiente, temos sistemas RHEL7 que precisam estar sempre ativos e funcionando. Eu sei que o método preferido para adquirir uma imagem forense é colocar o sistema offline, mas no caso de uma imagem ao vivo, qual seria o método preferido?
Um dd do sistema de arquivos raiz para uma partição separada seria inconsistente, pois os arquivos podem ser alterados durante o processo
Nossos sistemas usam o LVM, então talvez possamos usar o lvconvert para espelhar cada lvol, retirá-lo do VG e pegar um dd dele?
Podemos aproveitar o software RAID 1 para criar um disco de espelhamento e, em seguida, quebrá-lo de alguma forma?
É importante notar que não é possível instalar ferramentas de terceiros, tudo deve ser feito com o software padrão do RHEL7.
É impossível obter uma imagem forense apropriada do sistema em execução.
Depois de ler a discussão da questão ... você pode tentar diminuir a contagem de problemas chamando "sync", remontar todos os sistemas de arquivos no RO e obter a imagem dos sistemas de arquivos. Melhor, se você tiver sincronizado espelho, que você pode remontar na RO.
Tags lvm disk-image mirror forensics rhel