Linuxが外部ハードドライブまたはUSBドライブに接続されているときにそのドライブに何も書き込まないようにする2つの理由があります。
- ドライブの「空」部分から誤って削除されたファイルを復元します。
- デジタルフォレンジックの場合は、ドライブを複製するときにドライブに変更がないことを確認する必要があります。
この目的のために、特にドライブコネクタとエンクロージャがあり、書き込みコマンドがドライブに到達するのを物理的にブロックするスイッチまたはボタンがあります。
しかし、私のUSB-IDEコネクタにはそのような豪華さはありません。ソフトウェアでこれを行うことができると聞きましたが(Ubuntuのサイレントインストールを無効にする必要がある場合もあります)、オンラインで指示が見つかりませんでした。どのように行ってこれをやってみてください。
Ubuntuで書き込みを防ぐ方法何もないすべてのデータを維持するために外付けハードドライブに保存しますか?
私の特別なケースではUbuntuを使用しますが、私はこう尋ねました。UnixとLinux代わりにUbuntuに尋ねる私の特定のケースだけでなく、ディストリビューション全体にわたって機能する答えを探したいと思います。どちらのタイプの答えも歓迎します。
ベストアンサー1
実際のフォレンジックシナリオでは、ハードウェアインターセプタが必須です。ソフトウェアブロッカーは間違いのリスクがあるため十分ではなく、法的訴訟の場合はディスクイメージを変更しなかったという合理的な疑いを超えて主張し、その中で説明できることが非常に重要です。技術者以外の人にとっては非常に単純な用語であり、元の用語を変更することは不可能です。また、元のディスクで実行する唯一のことは、新しいメディアにコピーを作成してからそのコピーを分析することです(再書き込みブロッカーを使用して追加のコピーを作成し、そのコピーに書き込むことで興味のあるコンテンツを見つけることができます)。その後、正確なコピーが保証され、興味深いコンテンツの抽出が再現されます。
その場合は、次のコマンドを使用してブロックデバイスを読み取り専用に設定できます。blockdev注文する。
# blockdev --setro /dev/sde
# mount /dev/sde /mnt/
mount: block device /dev/sde is write-protected, mounting read-only
これはmount -o ro、デバイスを変更できないようにするのに十分ではありません。ジャーナル・ファイル・システムの場合、ファイル・システムが完全にアンマウントされていない場合は、読み取り専用のマウントもログを再生し、一致するようにディスク上のファイル・システムを更新します。これを防ぐには、ext3またはext4を使用してこのオプションを渡すことができますnoload。ただし、ブロックデバイスを読み取り専用に設定することは何も記録されないようにするより安全な方法であり、他のファイルシステムでは唯一の方法です。