Clone todo o SO sobre SSH

Navegue suas respostas
0

Eu tenho um servidor CENTOS que foi recentemente comprometido. No entanto, eu costumava ser amigável com um professor que ensinava segurança de computadores, e gostaria de dar a essa pessoa a chance de examinar os arquivos antigos para ver o que aconteceu. Eu tenho o espaço de armazenamento, existe uma maneira para um servidor do CENTOS clonar-se inteiramente antes de eu fantasma?

    
por user1833028 14.11.2014 / 22:03

2 respostas

1

Você pode estar enganando alguns leitores com a palavra "clone". Geralmente você clona um sistema para produzir um sistema em execução que é idêntico. Se você tiver hardware idêntico, isso pode ser feito com bastante sucesso, já que geri 40 servidores remotos com clonagem há muito tempo. Se você não tem hardware exato, então poderá enfrentar alguns desafios para executar o clone, embora seja muito mais fácil do que fazer isso com um sistema operacional MS.

Se o hardware for semelhante (por exemplo, unidades de x86 cpu ou 64 bits e sata na mesma ordem), você poderá copiar seus arquivos de uma caixa para o sistema de arquivos recém-formatado.

Você precisará executar o destino em um Live CD ou algo semelhante e executar um comando como:

Na máquina de origem: 

cd /rootoforig
find . -depth | cpio -o | nc -w 3 1234

Na máquina de destino: 

nc -l -p 1234 | cpio -imduv

Se a largura de banda é uma preocupação, você pode inserir uma compressa no meio do tubo. nc é NetCat

Isto irá replicar o verbete do seu sistema de arquivos, com propriedades / permissões / horários duplicados, o que pode ser de importância crítica no diagnóstico de uma exploração.

Esta transferência de dados NÃO é criptografada e será executada muito mais rapidamente por causa disso.

Agora você deve ter uma réplica do sistema de arquivos (melhor vernacular que "clone")

Se tudo correr bem, você deve ser capaz de executar um comando grub para configurar o boot. Eu usei bastante isso, embora monte o segundo disco localmente e use um comando ligeiramente diferente: 

cd /rootoforig
find . -depth | cpio -pmduv /mnt/destinationfs

O -depth informa encontrar para enviar os arquivos em uma pasta antes da pasta, isso permite que os tempos de acesso / propriedade nas pastas sejam definidos corretamente.

Resultados semelhantes podem ser obtidos com o rsync. Para mim, o rsync não existia quando comecei a fazer isso.

Por fim, como alternativa, se você realmente quiser clonar o sistema, poderá executar algo semelhante a: 

# on the server w/ ip 12.3.4:
nc -l 12345 | gzip -d | dd bs=16M of=computer-dd-image.img

# on the source/client:
dd bs=16M if=/dev/sda | gzip -c | nc 1.2.3.4 12345

O Netcat não é criptografado, é claro, e a alteração do tamanho do bloco e da adição de compactação gzip deve aumentar a velocidade de transferência na rede. Você também pode fazer isso por ssh, ao custo da velocidade: 

dd if=/dev/sda | ssh [email protected] dd of=computer-dd-image.img

Isso permite mais análises forenses com softwares como Autopsy and Scapel ou EnCase .

    
por 14.11.2014 / 22:42
0

Claro: 

 scp -prv  root@compromised:/ /mount/point

/ mount / point é o ponto de montagem da sua imagem. As opções são: -r recursivamente copiar tudo dentro do diretório especificado, descendo para baixo todos os ramos da árvore; -p preserva tempos de modificação, tempos de acesso e modos, e o modo verboso -v , que pode ser útil dado o tamanho da tarefa.

Você poderia ter feito o mesmo com rync , é claro.

    
por 14.11.2014 / 22:16

Tags

Setores defeituosos atuais do Time Machine HDD - Clone para o novo HDD ou faça um novo backup de TM limpo para o novo HDD? Como configurar o phpmyadmin no Ubuntu