Linux服务器安全事件应急的一些随笔 - 备份篇

卸载

# umount /dev/mapper/brokenwebapps-root卸载kpartx映射# kpartx -dv /dev/loop0若无法卸载可先通过lvremove命令卸载映射出的逻辑设备再通过kpartx卸载映射 
卸载loop设备# losetup -a        查看当前创建的loop设备/dev/loop0: [2049]:2107674 (/root/bak.img)# losetup -d /dev/loop0    卸载 

内存镜像备份

测试环境：

Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux 

在比较老的Linux上，通常内核版本为2.6以下的，应该是还可以通过dd命令进行内存镜像备份的

命令大概长这样：

dd if=/dev/mem of=dumpmem.dd bs=1024 

通过dd命令dump出/dev/mem设备的内容完成内存的备份，但是2.6以下版本的内核在平常可能不是太多见所以我也没具体测试这个命令导出的具体效果。

2.6及以上的版本由于Linux安全性要求，其开始限制我们直接对系统内存的访问。所以内存的备份我们可能要违背一下初心，需要引用第三方的模块来完成我们的工作

一开始我尝试使用的工具是fmem，他通过将自己加载到Linux内核中运行，通过创建/dev/fmem设备使我们可以继续使用dd命令来备份我们的内存。奈何我没编译成功，因为找的模拟环境为owasp的一个漏洞环境，然而其源已经连接不上了导致我无法去更新内核的开发包，也就没法编译成功了，转战kali，编译也出问题，大概也是内核版本不匹配，有机会在研究下能不能搞定他。

前面说到由于一开始用的环境无法更新内核开发包了，所以注明下以下的操作皆在kali下完成的，kali的具体内核版本开头已说明

在继续说内存镜像备份前先瞎说一波内核模块的加载，反正也不是什么正儿八经的讨论内核

先引用下度娘百科吧。

（编辑：衢州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!