부트 섹터 바이러스를 탐지하기 위해 MBR/GPT 백업

부트 섹터 바이러스를 탐지하기 위해 MBR/GPT 백업

내 컴퓨터에 Linux(특히 Debian)를 설치한 후 MBR 또는 GPT를 백업하고 monit과 같은 도구를 사용하여 MBR/GPT를 이 백업과 주기적으로 비교해야 합니까? 이것이 수고할 만한 가치가 있습니까, 아니면 더 좋은 방법이 있습니까, 아니면 더 이상 적용할 수 없습니까?

과거의 부트 섹터 바이러스 사례가 디스크의 MBR에 들어가서 비교할 이전 MBR 복사본이 없으면 이를 감지할 수 없었던 것을 기억합니다.

예전에는 MBR을 다음과 같이 백업했습니다.

# dd if=/dev/sdX of=hostname-sdX-mbr.dd bs=466 count=1

이제 GPT 파티션의 경우 다음을 고려하고 있습니다.

# sgdisk --backup=hostname-nvme0nX-gpt.sgdisk /dev/nvme0nX

그런 다음 monit 작업에서 동일한 명령을 다시 실행하고 변경 사항이 있는지 비교하십시오.

이 호스트의 일반적인 파티셔닝 방식은 다음과 같습니다.

  • 파티션 1:/boot/efi
  • 파티션 2:/부팅
  • 파티션 3: 암호화된 파티션
    • 좌심실 용적
      • vg: 스왑 파티션
      • vg: 루트 파티션(/)

답변1

EFI/GPT 파티션 구성표는 맬웨어를 포함할 수 없으므로 필요하지 않습니다. 변경 사항을 모니터링하는 것은 침입자가 파티션을 망칠 경우를 대비해 여전히 널리 사용되는 보안 조치입니다.

EFI/GPT 시스템을 사용하여 EFI System파티션(FAT32/FAT16) 및 해당 파티션에서 부팅~ 해야 하다드문 GRUB 업데이트 및 GRUB 구성 파일을 제외하고 나머지는 변경되지 않습니다.

GRUB 구성 파일의 경우: Fedora 및 기타 Linux 배포판에서 사용됩니다.blscfg/부트로더 구성 사양위의 파일을 절대 변경하지 마십시오.

관련 정보