[FUG-BR] Melhor maneira de fazer copia forense era: Replicar Instalação
Patrick Tracanelli
eksffa em freebsdbrasil.com.br
Sexta Agosto 1 13:29:35 BRT 2008
Nilton Jose Rizzo escreveu:
>
> Aproveitando carona na discussão,
>
> Qual é a melhor maneira de fazer a cópia de um HD para outro
> sem modificar um (01) bit seguer do HD original?
>
> dd, rsync ou outro???
>
>
> Tava pensando em usar o dd, mas fiquei na duvida agora, porque não
> posso mudar as datas de acesso/criação/modificação dos arquivos e o
> man do dd não diz nada especifico a isso.
> se bem que pode-se montar o HD inicialmente em modo ro, mas só ai
> já altera informações, tais como ultimo ponto de montagem, datas .....
>
> O que vcs usam para isso???
>
Se é forense, dd(1). Com dd(1) você não perde nada, com dump(1) você
perde extended attributes. Acho que o unico EA que não se perde são as
ACLs; mas se você tem labels MAC (Trusted), perde eles. E pior, tem
situações onde nós temos dados de verdade (userdata) gravado no espaço
de metadata dos Extended Attributes (ou seja, EA binario); esses também
são perdidos.
Eu tava ate montando um ambiente Trusted com isso, onde dados nunca
podem ser acessados sem MAC carregado, e carregado a policy MAC gravada
em metadata é sempre aplicada. Enfim, fora do topico mas eh uma maneira
de garantir que dados possam nunca mais vir a ser utilizados hehe, se
não for sob total controle.
Então dd, pra forense.
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
Mais detalhes sobre a lista de discussão freebsd