Ich bin ein Neuling im Terminalbereich von Linux-Live-Betriebssystemen (z. B. Kali Linux).
Bitte geben Sie an, was
1) in integrierten Programmen (z. B. Syslog ...),
2) Befehle im Terminal (zB ls, ps, md5sum, ...)
kann man Änderungen am Live-Betriebssystem (seit dem Booten von der CD) überprüfen? IE-Integritätsprüfungen. Ich bin daran interessiert, den Umfang bis auf die Kernelebene herunterzustufen.
Antwort1
LiveCDs funktionieren im Allgemeinen auf eine von zwei Arten:
Sie mounten das Root-Dateisystem von der CD und fügen dann
tmpfs-basierte Dateisysteme für Stellen (wie/varoder/home) hinzu, die geändert werden sollen. In diesem Fall ist es einfach: Die Kerndateien haben sich nicht geändert, da sie sich nicht auf einem beschreibbaren Dateisystem befinden.Sie mounten das Root-Dateisystem von der CD und fügen dann ein Overlay-Dateisystem hinzu, das alle Änderungen in den RAM umleitet. In diesem Fall können Sie Änderungen am besten überprüfen, indem Sie in der Dokumentation des verwendeten Overlay-Dateisystems nachsehen, wie Sie es auf Änderungen überprüfen können.
Beachten Sie, dass ein Angreifer in beiden Fällen die Änderungen vor Ihnen verbergen kann, indem er die von Ihnen verwendeten Tools manipuliert. Sie können die Integrität eines Systems nicht von innen heraus prüfen. Sie müssen es von außen inspizieren.
Antwort2
Du solltest benutzenmagazinctl. Es sagt Ihnen, was seit jeher in systemd passiert ist. Ich weiß nicht, ob es auf Kali und LiveCDs ist