Проверьте, существуют ли изменения в файловой системе (Ubuntu 10.10)
Я должен получить свой ПК к сервису потому что иногда зависания системы и suddendly перезагрузки без любой причины. Так или иначе я создам проверочного пользователя, если они захотят запустить компьютер. Кроме того, я думаю об осуществлении проверки файловой системы, прежде чем я принес и после того, как я верну свой ПК. Я думал о "#ls-alR> before.txt" из корневого каталога. После того, как я верну свой ПК, я сделаю то же и сравню оба файла с "различной" командой (Возможно, они попытались установить немного дерьма). Существует ли лучшее решение для этого?
2 ответа
ls -lR / только сказал бы Вам, что сервис восстановления обошелся без попытки скрыть их дорожки вообще. Если они захотят установить троянского коня, то они будут просто использовать нестандартные инструменты, которые не используют нормальные каналы для доступа к файловой системе.
Необходимо также работать find / -xdev -type f -exec sha512sum {} + >before-checksums.txt. Это хранит криптографическую контрольную сумму каждого регулярного файла. Если сервис восстановления изменит файлы, то он покажет на контрольных суммах. Загрузочный сектор также уязвим; сохраните копию его, а также первый сектор каждого раздела: for x in /dev/sda*; do head -c 512 <"$x" >"${x##*/}.sector1".
Даже это не могло бы быть защитой от действительно решительного и хорошо осведомленного взломщика. Криптографическая контрольная сумма целого диска была бы всего лишь, это просто не соответствовало бы, если бы они действительно так же мало как загружались от диска (который обновил бы прошлое время монтирования файловой системы, записать некоторые записи в журнале и так далее).
При получении компьютера удостоверьтесь, что загрузились с живого CD/USB а не с системы, которую Вы возвращаете, с тех пор если система была rootkitted, ядро, вероятно, сообщит об исходных версиях файлов а не содержания фактической дисковой емкости (но будет использовать дисковое содержание для установки некоторого бэкдора во время начальной загрузки).
Конечно, если они решат считать какие-либо частные данные на диске, то Вы не будете знать.
Почему Вы только не вынимаете диск?
(И надежда они не устанавливают троянское встроенное микропрограммное обеспечение, например, на материнской плате (BIOS) или на сетевой плате.)
Если "решением" Вы означаете "иметь мою систему, чистую после того, как я возвращаю его из службы", могло бы быть мудро рассмотреть создание изображения и восстановление его впоследствии - тот путь, Вы будете уверены, что это находится в состоянии, Вы оставили его.
Кроме того, Вы упоминаете, что установили - при создании того пользователя non-sudo они не смогли бы установить что-либо так или иначе.
Метод, который Вы предложили, должен работать вполне прилично иначе.