我是 Linux Live OS(例如 Kali Linux)终端的新手。
请告知什么
1)内置程序(例如 Syslog...),
2)终端中的命令(例如 ls、ps、md5sum 等)
可以使用什么来检查 Live OS 的更改(自光盘启动以来)?IE 完整性检查。我对深入到内核级别很感兴趣。
答案1
LiveCD 通常采用以下两种方式之一工作:
它们从 CD 安装根文件系统,然后
tmpfs
为要修改的位置(例如/var
或/home
)添加基于 的文件系统。在这种情况下,很简单:核心文件没有改变,因为它们不在可写的文件系统上。他们从 CD 装载根文件系统,然后添加覆盖文件系统,将所有修改重定向到 RAM。在这种情况下,检查更改的最佳方法是查看正在使用的覆盖文件系统的文档,并了解如何检查其中的更改。
请注意,无论哪种情况,攻击者都可以通过篡改您要使用的工具来隐藏更改。您无法从系统内部检查系统的完整性。您必须从外部检查它。
答案2
你应该使用日志控制。它会告诉你自那时以来 systemd 中发生的事情。不知道它是否在 Kali 和 LiveCD 上