यह सर्वर क्या कर रहा है?

13

मेरे पास पिछले आईटी विभाग से बचे लिनक्स वर्चुअल सर्वर का एक समूह है। उनके पास 'जादू' या 'सामान' जैसे नाम हैं। मुझे पूरा यकीन नहीं है कि वे क्या कर रहे हैं ... या अगर मुझे उनकी ज़रूरत है ...

कैसे आप लोग और गल्स इन मशीनों के उद्देश्य का पता लगाने के बारे में जानेगे? (उन्हें बंद करने और देखने के अलावा क्या टूट जाता है)

linux  virtual-machines  configuration 
blsub6
स्रोत
2
क्या आपके पास इन मशीनों में प्रवेश करने के लिए क्रेडेंशियल हैं?
स्काईवॉक
मेरे पास मशीनों के लिए मुझे जो करने की आवश्यकता है, वह करने के लिए है
blsub6
9
पूरी तरह से बेकार टिप्पणी, लेकिन इस सवाल का शीर्षक एक उत्कृष्ट गेम शो होगा।
मैट सिमंस

जवाबों:

20

शुरू करने के लिए कुछ स्थानों:

  • श्रवण सेवाएं ( netstat) - यह, आम तौर पर बोलना चाहिए, आपको सिस्टम के साथ क्या हो रहा है, इसका एक अच्छा विचार देता है।
  • /root/.bash_history (या अन्य उपयोगकर्ताओं की, यदि उन्होंने रूट का उपयोग नहीं किया है) - जो कुछ भी कंसोल पर चल रहा है, आदर्श रूप से, सिस्टम के उद्देश्य से संबंधित होगा।
  • /var/log - मानक लॉग पर एक नज़र डालें, और संबंधित किसी भी आवेदन की तलाश करें।
  • इंस्टॉल किए गए पैकेज - यह लिनक्स के वितरण के लिए विशिष्ट है जो वे चला रहे हैं, लेकिन अगर लॉग हैं, तो एक नज़र डालें। /var/log/dpkg.log, /var/log/yum.logआदि।
शेन मैडेन
स्रोत
2
अन्य बातों पर क्रॉन नौकरियों (दोनों प्रणाली रहे हैं देखने के लिए /etc/crontabऔर /etc/cron.*प्रति-उपयोगकर्ता नौकरियों और)
DerfK
1
और एक के बारे में ps uaxwया top, देखने के लिए क्या हो रहा है? :)
कारसजी इस्तवान
12

शायद ही वैज्ञानिक मुझे पता है लेकिन अगर आपको अपने प्रबंधन से अनुमति मिलती है तो मैं VMs पर रोक लगाने पर विचार करूंगा - आपको पता चलेगा कि क्या वे महत्वपूर्ण तेज हैं जो आप सोचेंगे, यदि यह शिकायत करने वाले किसी व्यक्ति के साथ रुका हुआ है ... तो यह बताता है कि आप कुछ और।

गंभीरता से हालांकि आप एक कैरियर खर्च करने की कोशिश कर सकते हैं ताकि वे वास्तव में सब कुछ जानने के बिना उन्हें पता लगा सकें। रोकना उन्हें अजीब / अजीब लग सकता है, लेकिन प्रलेखन के अभाव में, मुझे यकीन है कि आप प्रबंधन को विचार बेच सकते हैं, पहली बार में यह देखने के लिए कि यह वैसे भी कैसे चलता है।

Chopper3
स्रोत
4
+1 - यह पता लगाने का एकमात्र तरीका है कि कुछ सेवाओं को क्या चल रहा है, इसे बंद करना है। मेरी आखिरी नौकरी में एक विंडोज एनटी 4 "प्रिंट सर्वर" था जो मरने के बाद सालों तक था। जिस दिन यह सामान का एक पूरा गुच्छा बंद कर दिया गया था कि कोई भी नहीं जानता था कि उस बॉक्स पर चल रहा था।
voretaq7
1
उन्हें रोकें और प्रतीक्षा करें। और दो महीने बीतने के बाद और कुछ यादृच्छिक उपयोगकर्ता शिकायत करते हैं कि एक शेयर, एक शॉर्टकट या कुछ और काम नहीं कर रहा है (लेकिन यह काम किया!) इसे चालू करें।
अडामो
5
@adamo ... किसी मान्यता प्राप्त समर्थित मशीन / वीएम पर डेटा / कार्यक्षमता को स्थानांतरित करने के लिए क्षण भर के लिए फिर से स्विच करें।
चॉपर 3
7

मैं देखना चाहता है कि पहले इस सवाल का जवाब सुझाव नहीं था हैरान था ps -ef, तो मैं यह जोड़ देंगे: अगर आप को पता है कि एक प्रणाली क्या कर रहा है चाहता हूँ अब सही , प्रक्रिया सूची पढ़ने के क्या जड़ पर निर्भर है के लिए विशेष ध्यान दे रही है, और क्या विशिष्ट रूप से नामित उपयोगकर्ताओं (mysql, नाम, आदि) के स्वामित्व वाली प्रक्रियाएं हैं।

फिर मैं lsofरूट के रूप में रन के खिलाफ अपनी प्रक्रिया सूची की तुलना करके देखूंगा कि कौन सी प्रक्रिया नेटवर्क पर सुन रही है, और जो खुली फाइलों को पकड़े हुए हैं। आमतौर पर यह आपको बॉक्स पर लंबे समय तक चलने वाली प्रक्रियाओं की एक बहुत अच्छी तस्वीर देता है, जो आमतौर पर इसका मुख्य कार्य है।

उल्लेखनीय अपवादों में मेल शामिल हैं - स्थानीय syslog देखें और mailqSendmail द्वारा संसाधित किए जा रहे विवरणों के विवरण के लिए - और इंटेड-टाइप रन-ऑन-डिमांड सेवाएं, जिनके /etc/xinetd.confलिए कम से कम हाल ही के रेडहैट-आधारित लिनक्स के लिए एक अच्छी शर्त है।

उम्मीद है की वो मदद करदे; यदि आप विशेष रूप से किसी चीज में भाग लेते हैं तो हमें बताएं कि हम पहचानने में मदद कर सकते हैं!

जेफ अल्बर्ट
स्रोत
के लिए +1 lsoflsof -iइन स्थितियों में आपका सबसे अच्छा दोस्त हो सकता है।
ब्रायन
1

मैं यह देखकर शुरू करूंगा कि क्या सेवाएं चल रही हैं ... फिर उन लोगों के साथ मिलान करने का प्रयास करें जो वे होस्ट कर रहे हैं। किसी भी परिस्थिति में ऐसा न करें कि आपके पास कोई ऐसा विचार नहीं है जो आप कर रहे हैं जैसा कि आप कभी भी तोड़ सकते हैं यदि यह अपने मिशन को महत्वपूर्ण बना रहा है (यदि वह मार्ग आपके मरने का मार्ग है, तो उन्हें रोकें) ... आपको भी देखना चाहिए देखें कि क्या किसी प्रकार का प्रलेखन है।

याकूब
स्रोत
1

ओह प्रिय, यह एक मजेदार है।

क्या आपके पास कोई विचार है कि वे किस लिए उपयोग किए जाते हैं? क्या आप इसे "ये नेटवर्क सेवाओं के लिए उपयोग किया गया था" को कम कर सकते हैं, या क्या यह वास्तव में कुछ भी हो सकता है?

मैं कहूंगा कि प्रत्येक सर्वर पर एक पैकेट कैप्चर करना आवश्यक है, साथ ही सभी चलने वाली सेवाओं का ऑडिट भी। प्रत्येक चलने वाली सेवा के लिए कॉन्फ़िगर फ़ाइलों का पता लगाएँ और जाँचें कि फाइलें पिछली बार कब अपडेट हुई थीं - जो आपको इस बात का संकेत देंगी कि क्या कुछ अनुकूलित किया गया है, और यदि हां, तो कितनी देर पहले।

आप प्रत्येक सर्वर पर एक पोर्ट स्कैन भी चला सकते हैं, यह देखने के लिए कि कौन से पोर्ट खुले हैं और प्रतिक्रिया दे रहे हैं।

आप ज्ञात नेटवर्क सेवाओं - ईजी, डीएनएस, एलडीएपी, आदि की क्वेरी करके सुराग प्राप्त कर सकते हैं। आपको एनएस रिकॉर्ड्स के लिए खुदाई करके किसी विशेष क्षेत्र के लिए सभी DNS सर्वरों की सूची खोजने में सक्षम होना चाहिए। ध्यान रखें कि आप NS रिकॉर्ड की लंबी सूची के साथ समाप्त हो सकते हैं, जहां वास्तव में सक्रिय DNS सर्वर हैं, लेकिन यह आपको एक प्रारंभिक बिंदु देगा।

इन विधियों में से कोई भी अपने आप से निश्चित रूप से आग नहीं है, लेकिन यदि आप एक विशेष बॉक्स में कई ऑडिट विधियों को फेंकते हैं, तो आपके लिए सब कुछ खोजने के अवसरों को बढ़ाया जाता है।

सौभाग्य!

जेरेमी
स्रोत
पहले वाक्य के लिए +1, जो मुझे यकीन है कि सवाल पढ़ते समय हम सभी को क्या लगता है। :)
जॉन गार्डनियर्स
0

एक पोर्ट स्कैन किसी भी नेटवर्क सुलभ सेवाओं को प्रकट करेगा

सर्वर से स्थानीय रूप से: nmap 127.0.0.1

या आप एक निश्चित सबनेट / मास्क को स्कैन करने के लिए नैप बता सकते हैं

sreimer
स्रोत
2
या यहां तक ​​कि सिर्फ netstat।
जॉन गार्डनियर्स
0

सर्वरों से कनेक्ट करने के लिए जो कॉन्फ़िगर किया गया है, वह एक अन्य कोण है। यदि foozle.example.com सीईओ के ईमेल क्लाइंट में कॉन्फ़िगर किया गया है, तो यह संभवतः मेल सर्वर है। एफ़टीपी ग्राहक शायद किसी प्रकार के वेब सर्वर की ओर इशारा करते हैं। आदि आदि।

व्याट बार्नेट
स्रोत
जबकि यह समस्या काम करेगी कि हर दूसरी मशीन और संभवत: उन मशीनों पर भी हर उपयोगकर्ता खाते की जाँच की जानी चाहिए, बजाय केवल लक्षित मशीनों के।
जॉन गार्डनियर्स
वास्तव में नहीं - यदि ये वास्तव में सर्वर में हैं, तो एक नमूने की जांच करके आपको यह बताना चाहिए कि बक्से के थोक क्या हैं। या कम से कम आंतरिक रूप से पहुँचा। यह मुझे चौंकाता है कि आप बाहरी रूप से सुलभ सेवाओं को कवर करने के लिए फ़ायरवॉल नियमों को भी देख सकते हैं।
वायट बार्नेट
0

प्रक्रियाओं के लिए ps -ef, सुनने और tcpdump सेवाओं के लिए netstat -a यह देखने के लिए कि आगे क्या ट्रैफ़िक आगे बढ़ रहा है। इसके अलावा, चूंकि यह लिनक्स है, एक अच्छा मौका है कि एक फ़ायरवॉल चल रहा है - इसके लिए सेट-अप नियमों की जांच करें, आपको एक अच्छा सुराग देना चाहिए कि इस होस्ट और दूरस्थ होस्ट पर कौन सी सेवाओं का उपयोग किया जाना अपेक्षित है । उदा। iptables - निश्चित रूप से, फ़ायरवॉल क्या है, इसकी जाँच की जानी एक और चीज़ है, फ़ायरवॉल मॉड्यूल देखने के लिए lsmod आज़माएं और / var / log देखें

बॉब टी
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.