Como eu poderia tirar um instantâneo de um servidor CentOS 5 e compará-lo mais tarde?

Question

Se você simplesmente deseja responder à pergunta "quais arquivos neste sistema foram alterados", use uma ferramenta que gere somas de verificação para todos os seus arquivos. Execute-o antes que o consultor faça qualquer alteração, execute-o depois e procure os arquivos que foram alterados. Armazene os resultados em alguém que não esteja no sistema. E, claro, esteja ciente de que alguns arquivos mudam regularmente como parte do funcionamento normal das coisas.

As ferramentas que executam esta tarefa são frequentemente chamadas de “verificadores de integridade de arquivos”. As soluções incluemfio de disparo, aflito,assessor, e outros. Este artigodo autor de Samhain é uma visão geral razoavelmente boa de vários verificadores de integridade de arquivos. Não usei nenhum desses recentemente.
Se você realmente deseja ver o conteúdo antes e depois, uma opção é fazer backup de tudo primeiro e depois comparar o estado do sistema com seus backups. Você pode usar algo tão simples como tarou rsyncpara fazer seu backup e, posteriormente, comparar os backups com o estado atual do sistema. Você pode usar qualquer ferramenta selecionada para (1) para identificar os arquivos que foram alterados e, em seguida, comparar os backups e o arquivo atual.
Se você não estiver preocupado com alterações maliciosas e tiver uma configuração baseada em LVM, poderá pular a etapa de backup em (2) criando um instantâneo de seus sistemas de arquivos. A razão pela qual isso não protege contra alterações maliciosas é, obviamente, que os instantâneos compartilham o mesmo armazenamento que os arquivos originais e alguém com intenções maliciosas pode simplesmente atualizar os instantâneos, mas fornece uma solução com relativamente poucos requisitos de recursos.

Answer 1

Se você simplesmente deseja responder à pergunta "quais arquivos neste sistema foram alterados", use uma ferramenta que gere somas de verificação para todos os seus arquivos. Execute-o antes que o consultor faça qualquer alteração, execute-o depois e procure os arquivos que foram alterados. Armazene os resultados em alguém que não esteja no sistema. E, claro, esteja ciente de que alguns arquivos mudam regularmente como parte do funcionamento normal das coisas.

As ferramentas que executam esta tarefa são frequentemente chamadas de “verificadores de integridade de arquivos”. As soluções incluemfio de disparo, aflito,assessor, e outros. Este artigodo autor de Samhain é uma visão geral razoavelmente boa de vários verificadores de integridade de arquivos. Não usei nenhum desses recentemente.
Se você realmente deseja ver o conteúdo antes e depois, uma opção é fazer backup de tudo primeiro e depois comparar o estado do sistema com seus backups. Você pode usar algo tão simples como tarou rsyncpara fazer seu backup e, posteriormente, comparar os backups com o estado atual do sistema. Você pode usar qualquer ferramenta selecionada para (1) para identificar os arquivos que foram alterados e, em seguida, comparar os backups e o arquivo atual.
Se você não estiver preocupado com alterações maliciosas e tiver uma configuração baseada em LVM, poderá pular a etapa de backup em (2) criando um instantâneo de seus sistemas de arquivos. A razão pela qual isso não protege contra alterações maliciosas é, obviamente, que os instantâneos compartilham o mesmo armazenamento que os arquivos originais e alguém com intenções maliciosas pode simplesmente atualizar os instantâneos, mas fornece uma solução com relativamente poucos requisitos de recursos.

Como eu poderia tirar um instantâneo de um servidor CentOS 5 e compará-lo mais tarde?

Responder1

informação relacionada