우리 환경에는 항상 실행되어야 하는 RHEL7 시스템이 있습니다. 포렌식 이미지를 얻는 데 선호되는 방법은 시스템을 오프라인으로 전환하는 것이라고 알고 있습니다. 하지만 라이브 이미지인 경우 선호하는 방법은 무엇입니까?
별도의 파티션에 루트 파일 시스템을 추가하면 프로세스 중에 파일이 변경될 수 있으므로 일관성이 없습니다.
우리 시스템은 LVM을 사용하므로 lvconvert를 사용하여 각 lvol을 미러링하고 VG에서 가져온 다음 dd를 수행할 수 있습니까?
소프트웨어 RAID 1을 사용하여 미러링된 디스크를 생성한 다음 어떻게든 파괴할 수 있습니까?
타사 도구는 설치할 수 없으며 모든 작업은 RHEL7 기본 소프트웨어를 사용하여 수행되어야 합니다.
답변1
실행 중인 시스템에서 올바른 포렌식 이미지를 얻는 것은 불가능합니다.
문제 토론을 읽은 후... "sync"를 호출하고 RO에 모든 파일 시스템을 다시 마운트하고 파일 시스템 이미지를 가져옴으로써 문제 수를 좁힐 수 있습니다. 더 좋은 점은 동기화 이미지가 있으면 RO에 다시 설치할 수 있다는 것입니다.