我是linux live OS(例如Kali Linux)終端機的新手。
請指教什麼
1)在內建程式中(例如Syslog...),
2) 終端機中的命令(例如 ls、ps、md5sum、...)
可以用來檢查 Live OS 的變更(自從光碟啟動以來)? IE 完整性檢查。我有興趣深入到內核層級的範圍。
答案1
LiveCD 通常以以下兩種方式之一運作:
他們從 CD 掛載根檔案系統,然後為要修改的
tmpfs位置(例如/var或)添加基於 - 的檔案系統。/home在這種情況下,很簡單:核心檔案沒有更改,因為它們不在可寫入檔案系統上。他們從 CD 掛載根檔案系統,然後添加一個覆蓋檔案系統,將所有修改重定向到 RAM。在這種情況下,檢查變更的最佳方法是查看正在使用的覆蓋文件系統的文檔,並了解如何檢查其變更。
請注意,無論哪種情況,攻擊者都可以透過篡改您打算使用的工具來向您隱藏變更。您無法從系統內部檢查系統的完整性。您必須從外部對其進行檢查。
答案2
你應該使用日誌控制。它告訴你從那時起 systemd 中發生的事情。不知道 Kali 和 LiveCD 上是否有