ファイルシステム階層、個人フォレンジック分析[閉じる]

私は…正直、よくわかりません。何ここで尋ねられますが、言及した最後の3つのファイルの場合、すべて同じプロセス（たとえば、最新の更新されたamd64アーキテクチャバージョンをインストールしたプロセス）によって同時に作成/変更されたことは明らかですlibsasl2-modules-db。

（からapt show libsasl2-modules-db：

説明：Cyrus SASL - プラグイン認証モジュール（DB）

これはCyrus SASL API実装バージョン2.1です。詳細については、パッケージlibsasl2-2およびRFC 2222を参照してください。 。このパッケージは、Berkeley DB ルックアップをサポートする DB プラグインを提供します。

)

/var/lib/dpkg/infodpkgが特定のパッケージをインストール、更新、または削除するときに実行する操作および/または確認操作を決定するのに役立つさまざまな補助（「INFO」）ファイルが含まれています。特に、この.md5sumsファイルにはパッケージ内のすべてのファイルのMD5チェックサムが含まれているため、dpkgはそのファイルが改ざんされていないことを確認できます。

/etc/logcheck/ignore.d.server/これはサービスの挿入ディレクトリですlogcheck。パッケージはこのディレクトリを使用して、必要に応じて関連する構成フラグメントを追加できます。明らかに、libsasl2-modules-dbはさまざまなシステムログ情報を生成して、あまりにも多くのエラーを防ぐのに最適です。肯定的なポイント。

最後に、/usr/lib/x86_64-linux-gnu/libsasl2.so.2実際のペイロードがあります。これは、Berkeley DBシステムと対話できるSASL共有オブジェクトライブラリファイルです。

これらのすべては、パッケージのインストールまたは更新操作を通じて同時に配置されますlibsasl2-modules-db:amd64。これは自動アップグレードでも手動操作でもかまいません。知っている情報が足りません。/var/log/unattended-upgrades/の活動を確認することをお勧めします。/var/log/apt/

同様に、/var/lib/swcatalog/icons/ubuntu-jammy-universeパッケージがインストールされ、そのアイコンがディレクトリに追加またはリンクされると、パッケージによってディレクトリがほぼ自動的に入力されます。

この記事の冒頭で述べたように、あなたが探しているものがわかりませんが、単純な「完全なファイルシステムで最近修正された、または追加されたすべてのファイルを検索する」というコマンドはあまり役に立ちません。 - 最新のLinuxシステムは十分に静的ではありません。

真剣なフォレンジックを実行するには、信号とノイズを区別する方法を学ぶ必要があります。これを行う唯一の方法は、システムを構成するコンポーネントがどのように機能するかを理解することです。