Linux
備份 MBR/GPT 以檢測引導扇區病毒
在電腦(尤其是 Debian)上安裝 Linux 後,我是否應該費心備份 MBR 或 GPT 並使用類似 monit 的工具定期將 MBR/GPT 與此備份進行比較?這值得麻煩嗎,還是有更好的方法,還是不再適用?
我記得過去引導扇區病毒進入磁碟的 MBR 並且無法檢測到它們,除非我以前有一個 MBR 副本,可以與之比較。
過去,我按如下方式備份了 MBR:
# dd if=/dev/sdX of=hostname-sdX-mbr.dd bs=466 count=1對於現在的 GPT 分區,我正在考慮這個:
# sgdisk --backup=hostname-nvme0nX-gpt.sgdisk /dev/nvme0nX然後在 monit 任務中重新執行這些相同的命令,然後進行 diff 以查看是否有任何變化。
我在這些主機上的一般分區方案如下:
分區 1:/boot/efi
分區 2:/boot
分區 3:加密分區
LVM
- vg:交換分區
- vg:根分區(/)
EFI/GPT 分區方案不能包含惡意軟體,因此沒有必要。監控其中的變化仍然是一種受歡迎的安全措施,以防可能的入侵者想要弄亂您的分區。
使用 EFI/GPT,系統從
EFI System分區 (FAT32/FAT16) 引導,並且其上的二進製文件必須保持不變,除了罕見的 GRUB 更新和 GRUB 配置文件。至於 GRUB 配置文件:Fedora 和其他使用blscfg/Boot Loader 配置規範的 Linux 發行版從不更改上述文件。