¿Cómo podría tomar una instantánea de un servidor CentOS 5 y compararla más adelante?

Si simplemente desea responder la pregunta "¿qué archivos en este sistema han cambiado?", utilice una herramienta que genere sumas de verificación para todos sus archivos. Ejecútelo antes de que el consultor realice cambios, ejecútelo después y busque los archivos que hayan cambiado. Guarde los resultados en otra persona que no sea el sistema. Y, por supuesto, tenga en cuenta que algunos archivos cambian periódicamente como parte del funcionamiento normal de las cosas.

Las herramientas que realizan esta tarea suelen denominarse "comprobadores de integridad de archivos". Las soluciones incluyencable trampa, afiche,ayudante, y otros. Este artículodel autor de Samhain es una descripción general razonablemente buena de varios verificadores de integridad de archivos. No he usado ninguno de estos recientemente.

Si realmente desea ver el contenido antes y después, una opción es hacer una copia de seguridad de todo primero y luego comparar el estado del sistema con sus copias de seguridad. Podrías usar algo tan simple como taro rsyncpara hacer tu copia de seguridad, y luego puedes comparar las copias de seguridad con el estado actual del sistema. Puede usar cualquier herramienta que seleccione para (1) para identificar los archivos que han cambiado y luego comparar las copias de seguridad y el archivo actual.

Si no le preocupan los cambios maliciosos y tiene una configuración basada en LVM, puede omitir el paso de copia de seguridad en (2) creando una instantánea de sus sistemas de archivos. La razón por la que esto no protege contra cambios maliciosos es, por supuesto, que las instantáneas comparten el mismo almacenamiento que los archivos originales y alguien con intenciones maliciosas puede simplemente actualizar las instantáneas, pero proporciona una solución con relativamente pocos requisitos de recursos.