Chirurgisches Besteck
Live-Werkzeugkasten für die Shell
Zugriff übers Netz: iSCSI
Für forensische Untersuchungen wie auch die Datenrettung interessant ist die Bootoption readonly, die den Schreibzugriff auf alle Festplatten (/dev/[sh]dX
) unterbindet. Dies vermeidet, dass etwaige Mount-Operationen den Inhalt des Dateisystems verändern. Besonders in Kombination mit iSCSI kann man damit Datenrettung und forensische Untersuchungen einfach realisieren. Die Idee dahinter: Sie geben auf einem Rechner mit Netzwerk-Zugang die Festplatte schreibgeschützt frei, um sie auf einem anderen Rechner in Ruhe untersuchen zu können. Ein Beispiel dazu zeigt Listing 4.
# cat > /etc/ietd.conf << EOF TARGET grml-iscsi:storage.sda Lun 0 Path=/dev/sda,Type=fileio,IOMode=ro Alias sda.file HeaderDigest CRC32C DataDigest CRC32C EOF # echo "ISCSITARGET_ENABLE=true" > /etc/default/iscsitarget # /etc/init.d/iscsitarget start
Auf dem Clientsystem verbinden Sie sich nun mit dem iSCSI-Server. Mit open-iscsi funktioniert das wie in Listing 5 gezeigt. Läuft alles erfolgreich, sehen Sie im Syslog bereits den Eintrag zu einem neuen Device, das sich wie eine lokale Festplatte ansprechen lässt. Dank des kostenlosen "Microsoft iSCSI Software Initiator" funktioniert der Zugriff auch von Windows aus. Somit kann man mit Virenscannern unter Windows das System ohne Risiken untersuchen oder mit Spezialsoftware wie EnCase und X-Ways Forensics forensische Maßnahmen durchführen.
# /etc/init.d/open-iscsi start # iscsiadm --mode discovery --type sendtargets --portal 192.168.10.42 192.168.10.42:3260,1 grml-iscsi:storage.sda # iscsiadm --mode node --targetname grml-iscsi:storage.sda --portal 192.168.10.42 --login
Remastering
Genügt das Persistency-Feature für die individuelle Anpassung von Software und Konfigurationsdateien Ihren Bedürfnissen noch nicht, dann passen Sie das Live-System mittels Remastering ihren Zwecken an. Das Framework grml-live, das für das Bauen der offiziellen Grml-ISOs zum Einsatz kommt, hilft ebenso gut beim Zusammenstellen der ganz persönlichen Grml-Variante. Das Framework basiert auf FAI (Fully Automatic Installation) und verfolgt damit beim Bau des eigenen Live-Systems einen klassenbasierten Ansatz.
Der Umgang mit grml-live erfordert zwar etwas Einarbeitung, doch wer das System einmal verstanden hat, kann man mit einer einzigen Kommandozeile ein komplettes Live-System bauen. Den Beweis dafür treten die Daily-Snapshots unter [8] an, die täglich aktuelle und automatisiert gebaute Builds aller Grml-Varianten darstellen. Details zum Framework finden sich auf der Grml-live-Webseite [9]. Bevorzugen Sie ein manuelles Remastering, finden Sie die dafür relevanten Informationen auf der Remastering-Webseite im Grml-Wiki [5].
Einem Freund empfehlen
