Como eu poderia tirar um instantâneo de um servidor CentOS 5 e compará-lo posteriormente?

Se você simplesmente deseja responder à pergunta "quais arquivos foram alterados neste sistema", use uma ferramenta que gere somas de verificação para todos os seus arquivos. Execute-o antes que o consultor faça qualquer alteração, execute-o depois e procure os arquivos que foram alterados. Armazene os resultados em alguém que não esteja no sistema. E, claro, esteja ciente de que alguns arquivos são alterados regularmente como parte do funcionamento normal das coisas.

As ferramentas que executam essa tarefa geralmente são chamadas de "verificadores de integridade de arquivo". As soluções incluem tripwire , afick , aide e outras. Este artigo do autor do Samhain é uma visão geral razoavelmente boa de vários verificadores de integridade de arquivos. Eu não usei nenhum desses recentemente.

Se você realmente deseja ver o conteúdo antes e depois, uma opção é fazer backup de tudo primeiro e depois comparar o estado do sistema com seus backups. Você pode usar algo tão simples quanto tarou rsyncpara fazer seu backup e, posteriormente, comparar os backups com o estado atual do sistema. Você pode usar qualquer ferramenta selecionada para (1) para identificar os arquivos que foram alterados e, em seguida, comparar os backups e o arquivo atual.

Se você não estiver preocupado com alterações maliciosas e tiver uma configuração baseada em LVM, poderá pular a etapa de backup em (2) criando um instantâneo de seus sistemas de arquivos. A razão pela qual isso não protege contra alterações maliciosas é, obviamente, que os instantâneos compartilham o mesmo armazenamento que os arquivos originais e alguém com intenção maliciosa pode simplesmente atualizar os instantâneos, mas fornece uma solução com relativamente poucos requisitos de recursos.