Verfolgen, Speichern und Zurücksetzen von Dateisystemänderungen, die von einem Programm unter Linux vorgenommen wurden

Ich möchte in der Lage sein, wenn ein Programm wie ein Installationsprogramm ausgeführt wird, die Liste der an meinem Dateisystem vorgenommenen Änderungen zu verfolgen, damit ich sie anschließend zurücksetzen kann.

BEARBEITEN: Dies betrifft ein nicht gepacktes Programm. Ich benutze apt-get so weit ich kann.

Idealerweise möchte ich in der Lage sein, etwas zu tun wie:

(sudo) catch-modifs some-installer.bin > fsmodifs.patch

Und dann:

(sudo) revert-modifs fsmodifs.patch

Gibt es eine bequeme Möglichkeit, dies zu tun?

Möglicherweise ist der einfachste (?) Weg, dies zu tun, das Starten von einem LiveUSB mit einer "persistenten Datenpartition". (Oder, um den Effekt selbst zu replizieren, in einem Chroot-Gefängnis: Mounten Sie eine RW-Ebene über einer Ro-Ebene.) Machen Sie eine Momentaufnahme des RW-Dateisystems - das nach einem Neustart sehr schlank sein sollte - und führen Sie dann Ihr Installationsprogramm aus. Jede Datei, die geändert oder erstellt wird, befindet sich auf der rw-Überlagerungspartition "Persistente Daten". Sogar entfernte Dateien werden als "magische Punktedateien" angezeigt.

Vielleicht einen Blick auf Tripwire werfen? Tripwire ist passiver als Ihr aktives Beispiel, kann aber dennoch für Sie funktionieren.

http://www.linuxjournal.com/article/8758

Tripwire ist ein Intrusion Detection System (IDS), das Ihre kritischen Systemdateien und Berichte ständig und automatisch unter Kontrolle hält, wenn sie von einem Cracker (oder aus Versehen) zerstört oder geändert wurden. Dadurch kann der Systemadministrator sofort erkennen, was kompromittiert wurde, und das Problem beheben.

Schauen Sie sich Installwatch an:

http://en.wikipedia.org/wiki/Installwatch#Functionality

http://asic-linux.com.mx/~izto/checkinstall/installwatch.html

Verwenden Sie LD_PRELOADdiese Option , um eine Bibliothek zu laden, die die openBibliotheksfunktion abfängt und den Pfadnamen ändert / die Ausgabe protokolliert / eine Sicherungskopie erstellt, bevor Sie die Datei öffnen.

Schauen Sie sich den Quellcode für an strace.

Wenn das Installationsprogramm eine Verpackungsfunktion verwendet (dh für .debPakete für Debian / Ubuntu / ..., .rpmPakete für RedHat / CentOS / ... usw.), sollte das Paketinstallationsprogramm wissen, was bei der Installation und beim Entfernen zu tun ist. Und ich glaube, Sie sollten vorhandene Verpackungssysteme verwenden und keine eigenen erfinden. (Linux hat normalerweise keine Installationsprogramme wie Windows).

Wenn Sie den durch einen Prozess vorgenommenen Dateiänderungen wirklich folgen möchten, können Sie Systemaufrufe verwenden straceoder ltraceabfangen. Sie können auch inotifizierte und verwandte Einrichtungen.

Aber ich weiß nicht von einem catch-modifs& revert-modifswie du willst.

Ich empfehle, kein Installationsprogramm für Ihre Anwendung zu erstellen, sondern den Paketmanager zu verwenden, um .deb(und / oder .rpm) Pakete für Ihre Anwendung bereitzustellen . Sie werden die Abhängigkeitsprobleme besser behandeln als Ihr eigenes Installationsprogramm.

Der einfache Weg, um das zu erreichen, was Sie wollen: Installieren Sie die "nicht vertrauenswürdige" Anwendung in einer brandneuen Instanz einer virtuellen Maschine (VMWare-Workstation, Oracle VirtualBox usw.).

Wenn Sie entscheiden, dass Sie die Anwendung nicht mehr möchten, löschen Sie die virtuelle Maschine.

Ihre anderen Alternativen - das Abrufen von Dateizugriffs-Systemaufrufen - sind wahrscheinlich fehleranfällig und unvollständig. Seien Sie besonders vorsichtig bei Lösungen, die eine dynamische Verknüpfung erfordern, um zu funktionieren (wie es Installwatch zu tun scheint). Ein Installationsprogramm kann zu Recht direkte Systemaufrufe ausführen oder statisch verknüpft sein.