Überprüfung auf Änderungen unter Linux Live OS

321
unseen_rider

Ich bin ein Neuling am Terminal von Linux Live OS (zB Kali Linux).

Bitte sagen Sie was

1) in eingebauten Programmen (zB Syslog ...),

2) Befehle im Terminal (zB ls, ps, md5sum, ...)

kann man die Änderungen des Live-Betriebssystems (seit dem Booten von Disc) überprüfen? IE Integritätsprüfungen. Ich bin an einer Kernel-Ebene interessiert.

0
Was genau suchen Sie? Änderungen an Dateien, die sich auf der Live-CD / USB befinden? Haben Sie "find" mit einer der Zeitoptionen ausprobiert? Ich denke, "-mtime" und "-ctime" haben, was Sie brauchen. Neil Smithline vor 8 Jahren 0
Obwohl Sie Kali verwenden, ist dies in einem Linux / Server-Forum besser geeignet. schroeder vor 8 Jahren 1
Schauen Sie sich Tripwire an wireghoul vor 8 Jahren 0

2 Antworten auf die Frage

0
Mark

LiveCDs funktionieren im Allgemeinen auf zwei Arten:

  1. Sie mounten das Root-Dateisystem von der CD und fügen dann tmpfs-basierte Dateisysteme für Orte (wie /varoder /home) hinzu, die geändert werden sollen. In diesem Fall ist es einfach: Die Kerndateien haben sich nicht geändert, da sie sich nicht auf einem beschreibbaren Dateisystem befinden.

  2. Sie mounten das Root-Dateisystem von der CD und fügen dann ein Overlay-Dateisystem hinzu, das alle Änderungen an den RAM umleitet. In diesem Fall können Sie am besten nach Änderungen suchen, indem Sie die Dokumentation für das verwendete Overlay-Dateisystem und die entsprechenden Änderungen anzeigen.

Beachten Sie, dass in beiden Fällen ein Angreifer die Änderungen vor Ihnen verbergen kann, indem Sie die von Ihnen verwendeten Tools manipulieren. Sie können ein System nicht innerhalb des Systems auf Integrität prüfen. Sie müssen es von außen inspizieren.

Ok, wie kann man also die Integrität eines Live-Systems von außen überprüfen? unseen_rider vor 8 Jahren 0
Kommt drauf an, wie Sie es von außen betrachten (virtuelle Maschine vs. Speicherabbild vs. ...), und es ist eine nicht unbedeutende Übung. Mark vor 8 Jahren 0
Welche Suchbegriffe sollte ich verwenden, um dies weiter zu untersuchen? unseen_rider vor 8 Jahren 0
-1
brainsandwich

Sie sollten journalctl verwenden . Es erzählt Ihnen, was in systemd seit jeher passiert ist. Ich weiß nicht, ob es auf Kali und LiveCDs ist