Linux系统文件分析与安全检查
1. sysfs文件系统简介
在2.6内核中引入了sysfs文件系统,其主要目的是将原本存在于/proc层级下的非进程数据移出,放到挂载在/sys的单独虚拟文件系统中。在事件响应调查中,/sys下的modules和block这两个子目录可能具有重要意义。
- modules目录
/sys/modules为运行内核中的每个模块都包含一个子目录,这个列表比“lsmod”命令的输出更详尽,因为它包含了静态编译进内核的模块以及标准动态加载的内核模块的条目。这有助于我们更好地了解所使用内核的功能,特别是对于自定义或不熟悉的内核。- 示例命令及输出:
[root@localhost module]# ls drwxr-xr-x 3 root root 0 2008-04-13 23:29 8250 drwxr-xr-x 5 root root 0 2008-04-13 23:29 ac drwxr-xr-x 5 root root 0 2008-04-13 23:29 ac97_bus drwxr-xr-x 3 root root 0 2008-04-13 23:29 acpi drwxr-xr-x 2 root root 0 2008-04-13
