Configurare Slackware come distro forense

[Ntropy]

Salve a tutti

Sto studiando l'universo dell'informatica forense attraverso l'uso di varie distro ad hoc (Deft, Caine ecc. ecc.) tutte ottime per carità ma non sono slackware! Ho quindi assemblato un pc per le analisi (test più che altro) con slackware sopra ma ho un piccolo dubbio.
Il vantaggio delle distro che ho citato prima è quello di essere live e non montare automaticamente partizioni, dischi e device usb appena vengono inseriri ma per ovvii motivi lasciar decidere all'utente come montarle.
Con slackware ho pensato subito di stoppare hald. E' sufficiente oppure dovrei prendere qualche altra precauzione per evitare un indesiderato (almeno per questo tipo di lavoro) automount?

grazie

[Ansa89]

Il fatto è che hal serve anche per l'autoconfigurazione di xorg (che su una distro live è piuttosto comodo) e poi non sono sicuro che sia hal a fare l'automount .
In ogni caso secondo me faresti bene a lasciare attivo hald per tua comodità e disattivare l'automount nelle preferenze del gestore del desktop (che di solito è lui ad occuparsi dell'automount).

[Ntropy]

Il fatto è che hal serve anche per l'autoconfigurazione di xorg (che su una distro live è piuttosto comodo) e poi non sono sicuro che sia hal a fare l'automount .
In ogni caso secondo me faresti bene a lasciare attivo hald per tua comodità e disattivare l'automount nelle preferenze del gestore del desktop (che di solito è lui ad occuparsi dell'automount).

ho disattivato l'auto mount dal gestore del desktop (xfce) però le monta lo stesso io invece penso che sia proprio hald a montarle in quanto le monta anche se sono in modalità testuale.
Se invece stoppo hald allora non le monta, il problema però è che devo stoppare hald solo dopo aver lanciato xfce altrimenti xfce si pianta e non va avanti perchè come hai detto giustamente tu si occupa anche di interagire con xorg

[Ansa89]

Strano: anche io uso xfce e i dispositivi rimovibili NON vengono montati automaticamente appena li inserisco; mi compare l'icona del nuovo dispositivo, ma poi devo farci doppio click per montarlo (ovviamente hal è avviato).

Non è che hai regole particolari in udev o fstab?

[Ntropy]

Strano: anche io uso xfce e i dispositivi rimovibili NON vengono montati automaticamente appena li inserisco; mi compare l'icona del nuovo dispositivo, ma poi devo farci doppio click per montarlo (ovviamente hal è avviato).

Non è che hai regole particolari in udev o fstab?

Si perdonami, è proprio così, ho sbagliato io a scrivere. Esce l'icona anche a me ma poi li devi montare, io invece vorrei evitare anche che esca l'icona del device perchè voglio avere la certezza assoluta che il device non vegga aggiornato in alcun modo. Pena la possibile modifica di una prova che non deve essere assolutamente modificata.

Se ciò mi garantisce che nemmeno un bit del device viene moficiato allora va bene anche così.

[Ansa89]

Una distro forense deve SEMPRE montare tutti i dispositivi che trova in "ro", altrimenti si potrebbero compromettere delle prove preziose.
Non so se xfce permette di disabilitare la comparsa dell'icona del nuovo dispositivo sul desktop, ma puoi provare a cercare se esiste qualche opzione per forzare il mount in read-only (così non avresti più il problema di far sparire l'icona).

Se proprio non si riesce a fare nulla, puoi cambiare desktop manager (personalmente ti consiglio di provare lxde o icewm).

[cacao74]

non mi risulta che hald monti i device in automatico (sotto /media)

se connetti il tuo device da console, senza X, dovresti vedere che non monta nulla.
sicuramente non lo monta da fluxbox.
se da fluxbox apro thunar, vedo solo l'icona con il nome device (/dev/disk/by-label/<NOME_VISUALIZZATO>)
ma finche' non doppio clicco sopra... non succede nulla.

ti consiglierei di montare manualmente i device in ro da una shell di root
lasciando perdere i file manager

[Ntropy]

non mi risulta che hald monti i device in automatico (sotto /media)

se connetti il tuo device da console, senza X, dovresti vedere che non monta nulla.
sicuramente non lo monta da fluxbox.
se da fluxbox apro thunar, vedo solo l'icona con il nome device (/dev/disk/by-label/<NOME_VISUALIZZATO>)
ma finche' non doppio clicco sopra... non succede nulla.

ti consiglierei di montare manualmente i device in ro da una shell di root
lasciando perdere i file manager

forse ho risolto,
avvio il pc per l'analisi con runlevel 3, stoppo hald per sicurezza e poi inserisco il dispositivio usb.
Con dmesg confermo che il kernel ha visto il device e ne faccio prima un md5 e poi lo copio sull'hd con dd, il tutto senza montare niente perchè ovviamente faccio il dd di tutto il device, dopo rendo la copia .dd solo leggibile e la monto in read only.
Ho fatto già un paio di prove e l'hash risulta sempre uguale.

[Ansa89]

forse ho risolto,
avvio il pc per l'analisi con runlevel 3, stoppo hald per sicurezza e poi inserisco il dispositivio usb.
Con dmesg confermo che il kernel ha visto il device e ne faccio prima un md5 e poi lo copio sull'hd con dd, il tutto senza montare niente perchè ovviamente faccio il dd di tutto il device, dopo rendo la copia .dd solo leggibile e la monto in read only.
Ho fatto già un paio di prove e l'hash risulta sempre uguale.

Non mi sembra l'approccio giusto.
Se il disco usb e' 1TB, quanto ci mette dd?
Se il disco usb e' piu' grande dello spazio libero su disco fisso?
Se le prove sono sia sul disco fisso, sia su quello usb?

IMHO faresti meglio a farti uno script che monta in automatico tutte le partizioni che trova in read-only.

[cacao74]

se dovessi fare attivita' forense, anche io farei tutti gli esami del caso previa clonazione bit per bit della sorgente. mi dovro' ovviamente attrezzare per avere sufficiente spazio, ecc.

[Ntropy]

Allora, mi sono documentato leggendo vari articoli:

- per l'analisi forense è necessario avere un device molto grande su cui memorizzare l'immagine e preferibilmente usb per ovvie ragioni di trasportabilità. La dimensione consigliata è mediamente 3 volte la dimensione dell'hd in esame poichè: 1) sopra ci deve andare l'immagine dell'hd ovviamente 2) bisogna poi comprimere l'immagine e splittarla in pezzi in modo da poterla masterizzare 3) estrarre dall'immagine tutti i dati utili all'indagine

- è preferibile/molto consigliato leggere l'hd in esame da dispositivi usb anche perchè ho letto che i puristi delle analisi forensi informatiche usano montare tutto in ro oltre che ad utilizzare uno speciale apparecchio chiamato usb write blocker che in pratica si interpone tra la porta usb del pc e il device in esame al fine di bloccare fisicamente ogni tipo di modifica al dispositivo in esame. (doppio sistema di sicurezza)

è vero, dd chi mette una vita, anche perchè ho fatto l'immagine prova con un vecchio hd da 6gb impostando il bs=512 ( così come consigliato per rispettare la geometria del disco) e ha impiegato circa 1 ora

sicuramente si può migliorare in termini di prestazioni, sicurezza, modalità di esame ecc. ecc. per iniziare però mi sento fiducioso