Проблема: Непонимание функциональной разницы между симлинком (символической ссылкой) и копией файла в задачах кибербезопасности, форензики и администрирования.

Причины:
1. Экономия места и целостность данных — копия дублирует содержимое (занимает диск, рассинхронизируется при изменении оригинала). Симлинк — это запись о пути (несколько байт).
2. Сохранение метаданных и структуры — в форензике симлинки позволяют ссылаться на оригинальный объект (inode, время создания, разрешения) без копирования. Копирование уничтожает связь с файловой системой.
3. Обход ограничений путей — некоторые программы жестко прописывают пути к ресурсам (например, логи в `/var/log`). Симлинк перенаправляет их туда, где данные реально хранятся (сетевой диск, сторонний каталог).
4. Синхронизация и безопасность — изменение оригинала через симлинк мгновенно отражается во всех ссылках. Копия требует ручной или автоматизированной синхронизации, что увеличивает риск устаревания данных (и уязвимости для атаки на целостность).
5. Упрощение аудита — симлинк не изменяет хэш-сумму исходного файла, что критично для цепочек доказательств (forensic hash). Копирование меняет хэш и требует повторного снятия хэша с копии.

Решение:
- Использовать `ln -s` для создания симлинка, если требуется единая точка истины и неизменяемость ссылки (форензика, развертывание конфигов, монтирование образов).
- Копию (`cp`) применять только когда нужно независимое состояние объекта (модификация без влияния на оригинал, резервное копирование, изоляция для анализа вредоносного ПО).
- Пример для форензики: вместо `cp /evidence/disk.dd /work/disk.dd` (дублирование 20 ГБ) → `ln -s /evidence/disk.dd /work/disk.dd` (ноль затрат места).
- Пример для OSINT: `ln -s /mnt/external/data /home/analyst/data` — обход лимитов пути.

Легальность: Симлинки не нарушают ст. 272-274 УК РФ (НПА о защите информации) при использовании на собственных/легально арендованных ресурсах.