ライブRHELシステムで一貫したフォレンジック画像を生成するには?

ライブRHELシステムで一貫したフォレンジック画像を生成するには?

私たちの環境には常に実行する必要があるRHEL7システムがあります。フォレンジック画像を取得するための好ましい方法は、システムをオフラインにすることです。しかし、ライブ画像の場合、好む方法は何ですか?

  • 別のパーティションにルートファイルシステムを追加すると、プロセス中にファイルが変更される可能性があるため、一貫性はありません。

  • システムはLVMを使用しているため、lvconvertを使用して各lvolをミラーリングしてVGからインポートしてからddを実行できますか?

  • ソフトウェアRAID 1を使用してミラーリングされたディスクを作成し、どういうわけか破壊できますか?

サードパーティ製のツールはインストールできず、すべての作業はRHEL7基本ソフトウェアを使用して実行する必要があります。

答え1

実行中のシステムで正しいフォレンジック画像を取得することは不可能です。

問題ディスカッションを読んだ後... "sync"を呼び出し、ROにすべてのファイルシステムを再マウントしてファイルシステムイメージをインポートすることで、問題の数を絞り込むことができます。より良いことは、同期イメージがあればROに再インストールできることです。

関連情報