小编tvc*_*tvc的帖子

我正在构建一个安装了 Linux 的新系统，用于特定目的，涉及第三方与其交互。除了应用必要的防火墙规则将计算机与 Intranet 隔离，同时仍然允许访问 Internet 之外，我还需要该系统上的所有文件即使在发出时也能保留（即我能够稍后检索它们）rm，可能是root，或其他方式（程序进行系统调用来删除它）。我不仅仅想要文件系统操作的日志（我auditd相信可以通过 Tripwire 等工具检索），我还需要文件的内容。我想了几种方法来实现这一目标：

• 别名rm为mv some-where-else, 或
• 修改rm二进制文件。虽然这两种方法可以在某种程度上起作用，但如果程序尝试删除文件，它就会错过，因为现在rm不会调用二进制文件。
• 在内核中挂钩写入和删除函数，以便对 write 的调用将同时写入两个位置，而删除将仅删除“可见”副本。我认为这是另一种可行的方法，不确定它是否会造成任何破坏。这涉及编写一个小内核模块。虽然我在这方面没有太多专业知识，但如果有源代码，我可以并且将会构建一个。
• 给予用户fakeroot。这可能行不通，因为他们坚持拥有 root 访问权限来安装程序并修改系统范围的配置（例如 in/etc和 swap 中的配置）。他们一尝试接触这些文件就会知道这一点。
• 在其他地方保留目录的镜像 ，即在逻辑级别上镜像。据我所知，可以使用诸如rclone. 但是，这只有在创建文件的原始进程完成后才有效。我假设如果一个非常大的zip文件被复制到系统的其他地方，只是从中提取一个很小的文本文件，然后该zip文件被删除，那么它就会被丢失。
• 选择支持此级别操作的文件系统或修改文件系统配置。因为我还没有创建系统，所以我可以决定使用什么文件系统。我总是选择ext4正常安装，但我没有任何经验，也不知道针对这种情况需要修改的任何配置。squashfs我之前用过一段时间overlayfs，它确实有一个我想要的功能。删除原文件后，overlayfs仅隐藏该文件。如果overlayfs删除分区，原始文件会重新出现。但是，我还想要新文件被删除之前的内容。
• 主动监视和创建对文件的引用（软链接？），以便rm文件不会使其悬空并受到回收。理论上我觉得这个还不错，但是不知道有没有这样的工具。
• 创建软件 RAID 1，但以某种方式禁用一个卷上的删除功能。我认为这是不可能的，因为 RAID 1 的运行级别低于逻辑文件系统。不过，如果需要，我可以创建更多卷。
• 关闭虚拟机相关系统，并为其磁盘创建快照。向第三方提供虚拟机是可以接受的。但是，虚拟机对于存储在其中的逻辑文件系统来说仍然处于较低级别。我认为主机没有办法知道内部正在执行什么确切的文件系统操作。按时间间隔拍摄快照不是一个好主意，因为它会占用大量存储空间，并且还会丢失在快照窗口之间创建和删除的文件。

如果我的理解有什么错误，请指正。任何见解将不胜感激！

编辑：我想从用户的角度 …

如何创建与物理接口连接到同一网络的虚拟接口？我试着四处寻找，但我发现的只是环回。我需要电线的另一端将其识别为两个接口，因此环回不会这样做。像 VMWare 这样的虚拟机管理程序可以选择执行此操作（VM 和主机在路由器的 arp 表上被识别为两个设备），但在我的情况下，使用 VM 几乎是矫枉过正。我只想要另一个连接，或者一些可以充当“虚拟交换机”的应用程序。