Назад | Перейти на главную страницу

Что делает этот сервер?

У меня есть несколько виртуальных серверов Linux, оставшихся от предыдущего ИТ-отдела. У них есть такие названия, как «магия» или «прочее». Я не совсем понимаю, что они делают ... или нужны ли они мне ...

Как бы вы, ребята, и девчонки начали выяснять назначение этих машин? (кроме их выключения и просмотра того, что ломается)

Пара мест для начала:

  • услуги прослушивания (netstat) - это, вообще говоря, должно дать вам хорошее представление о том, что происходит с системой.
  • /root/.bash_history (или других пользователей, если они не использовали root) - все, что происходит на консоли, в идеале будет связано с назначением системы.
  • /var/log - взгляните на стандартные журналы и поищите все, что связано с приложением.
  • Установленные пакеты - это относится к дистрибутиву Linux, который они запускают, но если есть журналы, посмотрите. /var/log/dpkg.log, /var/log/yum.log, и т.д.

Вряд ли научный, я знаю, но если вы получите разрешение от своего руководства, я бы подумал о приостановке виртуальных машин - вы узнаете, важны ли они быстрее, чем вы думаете, если он останется приостановленным, и никто не будет жаловаться ... ну, это говорит о ты что-то другое.

Серьезно, хотя вы можете потратить карьеру, пытаясь понять их, даже не зная, что они делают. Приостановка их может показаться странным / драконовским, но я уверен, что в отсутствие документации вы могли бы продать идею руководству, сначала как разовую, чтобы посмотреть, как все пойдет.

Я был удивлен, увидев, что первый предложенный ответ не был ps -ef, поэтому я добавлю: если вы хотите знать, что делает система сейчаспрочтите список процессов, обращая особое внимание на то, что делает root, и есть ли процессы, принадлежащие пользователям с явно указанными именами (mysql, named и т. д.).

Затем я бы сравнил свой список процессов с lsof запустите как root, чтобы увидеть, какие процессы прослушивают сеть, а какие содержат открытые файлы. Обычно это дает вам довольно хорошее представление о длительных процессах в коробке, которые обычно являются его основной функцией.

Известные исключения включают почту - см. Локальный системный журнал и mailq для получения подробной информации о том, что обрабатывается sendmail - и службами встроенного типа, выполняемыми по запросу, для которых /etc/xinetd.conf - хорошая ставка, по крайней мере, для последних версий Linux на базе Redhat.

Надеюсь, это поможет; дайте нам знать, если вы столкнетесь с чем-то, в частности, мы можем помочь идентифицировать!

Я бы начал с того, что посмотрел, какие службы работают ... Затем попытайтесь сопоставить их с тем, что они размещают. Ни при каких обстоятельствах НЕ выключайте то, что вы не знаете, что оно делает, так как вы можете сломать то, что когда-либо оно запускает, если его миссия критически важна (если это путь, по которому вы умираете, остановите их) ... Вы также должны проверить, чтобы посмотрите, есть ли какая-нибудь документация.

О боже, это весело.

Вы хоть представляете, для чего они нужны? Можете ли вы сузить его до «они использовались для сетевых служб», или это может быть вообще что-нибудь?

Я бы сказал, что необходим захват пакетов на каждом сервере, а также аудит всех работающих служб. Найдите файлы конфигурации для каждой запущенной службы и проверьте, когда файлы были обновлены в последний раз - это даст вам представление о том, было ли что-то настроено, и если да, то как давно.

Вы также можете запустить сканирование портов на каждом сервере, чтобы увидеть, какие порты открыты и отвечают.

Вы можете получить подсказки, запросив известные сетевые службы - EG, DNS, LDAP и т. Д. Вы сможете найти список всех DNS-серверов для определенной зоны, покопавшись в записях NS. Имейте в виду, что вы можете получить более длинный список NS-записей, чем количество фактически активных DNS-серверов, но это даст вам отправную точку.

Ни один из этих методов не сработает сам по себе, но если вы добавите несколько методов аудита в конкретный ящик, ваши шансы найти все, что стоит найти, увеличиваются.

Удачи!

Сканирование портов выявит любые доступные в сети службы.

С сервера локально: nmap 127.0.0.1

Или вы можете указать Nmap сканировать определенную подсеть / маску

Еще один аспект - это посмотреть, что настроено для подключения к серверам. Если foozle.example.com настроен в почтовом клиенте генерального директора, вероятно, это почтовый сервер. FTP-клиенты, вероятно, указывают на какой-то веб-сервер. И т. Д. И т. Д.

ps -ef для процессов, netstat -a для прослушивания сервисов и tcpdump, чтобы увидеть, какой трафик идет туда и обратно, - отличные предложения. Кроме того, поскольку это Linux, есть большая вероятность, что там работает брандмауэр - ознакомьтесь с установленными для него правилами, они должны дать вам хорошее представление о том, какие службы предполагается использовать на этом хосте и удаленных хостах, к которым этот хост подключается. . например iptables --list Конечно, что это за брандмауэр, нужно еще раз проверить, попробуйте lsmod найти модули брандмауэра и проверить / var / log