ブートセクタウイルスを検出するためのMBR / GPTバックアップ

ブートセクタウイルスを検出するためのMBR / GPTバックアップ

マイコンピュータにLinux(特にDebian)をインストールした後、MBRまたはGPTをバックアップし、monitなどのツールを使用してMBR / GPTをこのバックアップと定期的に比較する必要がありますか?これは苦労する価値がありますか、それとも良い方法がありますか、それ以上適用できませんか?

過去のブートセクタウイルスケースがディスクのMBRに入り、比較する以前のMBRコピーがなければそれを検出できなかったことを覚えています。

以前は、MBRを次のようにバックアップしました。

# dd if=/dev/sdX of=hostname-sdX-mbr.dd bs=466 count=1

ここで、GPTパーティションの場合は、次の点を検討しています。

# sgdisk --backup=hostname-nvme0nX-gpt.sgdisk /dev/nvme0nX

次に monit ジョブで同じコマンドを再実行し、変更があるかどうかを比較します。

このホストの一般的なパーティショニング方法は次のとおりです。

  • パーティション 1:/boot/efi
  • パーティション 2:/ブート
  • パーティション 3: 暗号化されたパーティション
    • 左心室容積
      • vg:スワップパーティション
      • vg:ルートパーティション(/)

答え1

EFI / GPTパーティションスキームはマルウェアを含めることができないため、必要ありません。変更を監視することは、侵入者がパーティションを台無しにした場合に備えて依然として広く使用されているセキュリティ対策です。

EFI/GPTシステムを使用してEFI Systemパーティション(FAT32/FAT16)とそのパーティションから起動〜しなければならないまれなGRUBアップデートとGRUB設定ファイルを除いて、残りは変更されません。

GRUB構成ファイルの場合:Fedoraおよび他のLinuxディストリビューションで使用されます。blscfg/ブートローダ構成仕様上記のファイルを絶対に変更しないでください。

関連情報