У меня есть несколько виртуальных серверов Linux, оставшихся от предыдущего ИТ-отдела. У них есть такие названия, как «магия» или «прочее». Я не совсем понимаю, что они делают ... или нужны ли они мне ...
Как бы вы, ребята, и девчонки начали выяснять назначение этих машин? (кроме их выключения и просмотра того, что ломается)
Пара мест для начала:
netstat
) - это, вообще говоря, должно дать вам хорошее представление о том, что происходит с системой./root/.bash_history
(или других пользователей, если они не использовали root) - все, что происходит на консоли, в идеале будет связано с назначением системы./var/log
- взгляните на стандартные журналы и поищите все, что связано с приложением./var/log/dpkg.log
, /var/log/yum.log
, и т.д.Вряд ли научный, я знаю, но если вы получите разрешение от своего руководства, я бы подумал о приостановке виртуальных машин - вы узнаете, важны ли они быстрее, чем вы думаете, если он останется приостановленным, и никто не будет жаловаться ... ну, это говорит о ты что-то другое.
Серьезно, хотя вы можете потратить карьеру, пытаясь понять их, даже не зная, что они делают. Приостановка их может показаться странным / драконовским, но я уверен, что в отсутствие документации вы могли бы продать идею руководству, сначала как разовую, чтобы посмотреть, как все пойдет.
Я был удивлен, увидев, что первый предложенный ответ не был ps -ef
, поэтому я добавлю: если вы хотите знать, что делает система сейчаспрочтите список процессов, обращая особое внимание на то, что делает root, и есть ли процессы, принадлежащие пользователям с явно указанными именами (mysql, named и т. д.).
Затем я бы сравнил свой список процессов с lsof
запустите как root, чтобы увидеть, какие процессы прослушивают сеть, а какие содержат открытые файлы. Обычно это дает вам довольно хорошее представление о длительных процессах в коробке, которые обычно являются его основной функцией.
Известные исключения включают почту - см. Локальный системный журнал и mailq
для получения подробной информации о том, что обрабатывается sendmail - и службами встроенного типа, выполняемыми по запросу, для которых /etc/xinetd.conf
- хорошая ставка, по крайней мере, для последних версий Linux на базе Redhat.
Надеюсь, это поможет; дайте нам знать, если вы столкнетесь с чем-то, в частности, мы можем помочь идентифицировать!
Я бы начал с того, что посмотрел, какие службы работают ... Затем попытайтесь сопоставить их с тем, что они размещают. Ни при каких обстоятельствах НЕ выключайте то, что вы не знаете, что оно делает, так как вы можете сломать то, что когда-либо оно запускает, если его миссия критически важна (если это путь, по которому вы умираете, остановите их) ... Вы также должны проверить, чтобы посмотрите, есть ли какая-нибудь документация.
О боже, это весело.
Вы хоть представляете, для чего они нужны? Можете ли вы сузить его до «они использовались для сетевых служб», или это может быть вообще что-нибудь?
Я бы сказал, что необходим захват пакетов на каждом сервере, а также аудит всех работающих служб. Найдите файлы конфигурации для каждой запущенной службы и проверьте, когда файлы были обновлены в последний раз - это даст вам представление о том, было ли что-то настроено, и если да, то как давно.
Вы также можете запустить сканирование портов на каждом сервере, чтобы увидеть, какие порты открыты и отвечают.
Вы можете получить подсказки, запросив известные сетевые службы - EG, DNS, LDAP и т. Д. Вы сможете найти список всех DNS-серверов для определенной зоны, покопавшись в записях NS. Имейте в виду, что вы можете получить более длинный список NS-записей, чем количество фактически активных DNS-серверов, но это даст вам отправную точку.
Ни один из этих методов не сработает сам по себе, но если вы добавите несколько методов аудита в конкретный ящик, ваши шансы найти все, что стоит найти, увеличиваются.
Удачи!
Сканирование портов выявит любые доступные в сети службы.
С сервера локально: nmap 127.0.0.1
Или вы можете указать Nmap сканировать определенную подсеть / маску
Еще один аспект - это посмотреть, что настроено для подключения к серверам. Если foozle.example.com настроен в почтовом клиенте генерального директора, вероятно, это почтовый сервер. FTP-клиенты, вероятно, указывают на какой-то веб-сервер. И т. Д. И т. Д.
ps -ef для процессов, netstat -a для прослушивания сервисов и tcpdump, чтобы увидеть, какой трафик идет туда и обратно, - отличные предложения. Кроме того, поскольку это Linux, есть большая вероятность, что там работает брандмауэр - ознакомьтесь с установленными для него правилами, они должны дать вам хорошее представление о том, какие службы предполагается использовать на этом хосте и удаленных хостах, к которым этот хост подключается. . например iptables --list Конечно, что это за брандмауэр, нужно еще раз проверить, попробуйте lsmod найти модули брандмауэра и проверить / var / log