[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05235] Re: /procの保全
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:05235] Re: /procの保全
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sun, 18 Apr 2004 20:38:54 +0900
Port139 伊原です。
tar とくれば『UNIXバックアップ&リカバリ』オライリー刊を参照しつつ...
On Sun, 18 Apr 2004 10:03:01 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
>昨日の勉強会でちらっと出ていたお話しですが、稼働中システムの
>Incident Responce において、/proc 配下をまるっと保全(複製)
>する簡単な方法ってあるのでしょうか?
>tar コマンドでサクっとできちゃったりするんだろうか・・・
tar cvf - /proc などとすれば標準出力を経由して nc で保存は可能
なんですね。(この場合、読まれた対象の atime が変化)
保存してから気が付いたのですが、/proc/kcore を除きサイズ 0 の
ファイルが tar でまとめられるだけで、意味ありませんね(T_T)
保全対象システム上で cat コマンドを使い、それぞれのファイル内容
を出力してあげないとダメなのですね。
PID 毎のフォルダ、fd フォルダを取得できれば、削除されたファイル
を含め保全できる?と考えていたのですがダメダメでした>自分
Forensic Analysis of a Live Linux System, Part Two にあるよう
に、fd 配下にある削除されたファイルを含めまるっと保全できると
きっと嬉しいわけですが・・・うーん。
#やはり力技?
・ファイル削除のログが残っていれば、削除されたことはわかる
・ファイルシステムに残っていれば電源断後でも復元できる
・Disk への書き込みが発生すると復元は難しくなる
そういえば、fd にあるリンクからファイルを復元する場合、時間の
経過に関係なく完全に復元できるもんなのでしょうか?
--
『強いWindowsの基本』 やっとでました(^^;;
http://www.seshop.com/detail.asp?pid=4449
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/