Eu sou um novato no terminal de sistemas operacionais Linux Live (por exemplo, Kali Linux).
Por favor, informe o que
1) em programas construídos (por exemplo, Syslog...),
2) Comandos no Terminal (ex. ls, ps, md5sum, ...)
pode ser usado para verificar alterações no Live OS (desde a inicialização a partir do disco)? Verificações de integridade do IE. Estou interessado em descer ao nível do kernel no escopo.
Responder1
Os LiveCDs geralmente funcionam de duas maneiras:
Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam
tmpfssistemas de arquivos baseados em -para locais (como/varou/home) que devem ser modificados. Neste caso, é simples: os arquivos principais não foram alterados, pois não estão em um sistema de arquivos gravável.Eles montam o sistema de arquivos raiz a partir do CD e, em seguida, adicionam um sistema de arquivos de sobreposição que redireciona todas as modificações para a RAM. Nesse caso, a melhor maneira de verificar se há alterações é consultar a documentação do sistema de arquivos de sobreposição em uso e ver como inspecioná-lo em busca de alterações.
Observe que, em ambos os casos, um invasor pode ocultar as alterações alterando as ferramentas que você pretende usar. Você não pode examinar a integridade de um sistema de dentro do sistema. Você deve inspecioná-lo de fora.
Responder2
Você deveria usarjornalctl. Ele conta coisas que aconteceram no systemd desde sempre. Não sei se está em Kali e LiveCDs