检查文件系统是否有变化(Ubuntu 10.10)

检查文件系统是否有变化(Ubuntu 10.10)

我必须将我的 PC 送去维修,因为有时系统会无缘无故地挂起并突然重启。无论如何,如果他们想启动计算机,我将创建一个测试用户。此外,我考虑在将 PC 送回之前和之后检查文件系统。我想到了一个“#ls -alR > before.txt”的根目录。在我拿回 PC 后,我将执行相同的操作并使用“diff”命令比较两个文件(也许他们试图安装一些垃圾)。有没有更好的解决方案?

答案1

ls -lR /只会告诉你修复服务做了什么,根本不会试图隐藏他们的踪迹。如果他们想安装特洛伊木马,他们只会使用不使用正常渠道访问文件系统的非标准工具。

您还应该运行find / -xdev -type f -exec sha512sum {} + >before-checksums.txt。这会存储每个常规文件的加密校验和。如果修复服务修改了文件,则会在校验和中显示出来。引导扇区也容易受到攻击;请保留它的副本以及每个分区的第一个扇区:for x in /dev/sda*; do head -c 512 <"$x" >"${x##*/}.sector1"

即使这样,也可能无法防范真正有决心和知识的攻击者。整个磁盘的加密校验和可以,但如果攻击者只是从磁盘启动(这将更新文件系统的上次安装时间、写入一些日志条目等),则校验和根本不匹配。

当您检索计算机时,请确保从实时 CD/USB 启动而不是从您取回的系统启动,因为如果系统已被 rootkit 攻击,内核可能会报告文件的原始版本而不是实际的磁盘内容(但会使用磁盘内容在启动期间安装某种后门)。

当然,如果他们决定读取磁盘上的任何私人数据,你是不会知道的。

你为什么不直接把磁盘取出来呢?

(并且希望他们不会安装木马固件,例如在主板(BIOS)或网卡上。)

答案2

如果您所说的“解决方案”是指“在从服务中取回系统后清理我的系统”,那么考虑制作一个映像并在之后恢复它可能是明智的 - 这样,您就可以确保它处于您离开时的状态。

此外,您提到安装 - 如果您让该用户不具有 sudo 权限,他们将无法安装任何东西。

否则,您建议的方法应该会非常有效。

相关内容