O que este servidor está fazendo?

13

Eu tenho um monte de servidores virtuais Linux que sobraram de um departamento de TI anterior. Eles têm nomes como "mágica" ou "coisa". Eu não tenho certeza do que eles estão fazendo ... ou se eu precisar deles ...

Como vocês e garotas vão descobrir o propósito dessas máquinas? (além de desligá-los e ver o que quebra)

    
por blsub6 07.03.2011 / 22:53

8 respostas

20

Alguns lugares para começar:

  • serviços de escuta ( netstat ) - em geral, isso deve lhe dar uma ideia decente do que está acontecendo com o sistema.
  • /root/.bash_history (ou de outros usuários, se eles não usaram o root) - o que estiver acontecendo no console será, idealmente, relacionado ao propósito do sistema.
  • /var/log - dê uma olhada nos logs padrão e procure por qualquer aplicativo relacionado.
  • Pacotes instalados - isso é específico para a distribuição do linux que eles estão executando, mas se os logs estiverem lá, dê uma olhada. /var/log/dpkg.log , /var/log/yum.log , etc.
por 07.03.2011 / 23:07
12

Dificilmente científico eu sei, mas se você obter permissão do seu gerenciamento, eu consideraria pausar as VMs - você descobrirá se elas são importantes mais rápido do que você pensa, se elas permanecerem pausadas sem que ninguém se queixe ... bem, isso te diz outra coisa.

Falando sério, você poderia passar uma carreira tentando entendê-los sem que todos saibam tudo o que fazem. Pausá-los pode parecer estranho / draconiano, mas, na ausência de documentação, tenho certeza de que você poderia vender a idéia para a gerência, como uma coisa única no começo para ver como ela acontece de qualquer maneira.

    
por 07.03.2011 / 23:03
7

Fiquei surpreso ao ver que a primeira resposta sugerida não foi ps -ef , então vou adicioná-la: se você quiser saber o que um sistema está fazendo agora , leia o processo lista, prestando especial atenção para o que o root está fazendo, e se existem processos pertencentes a usuários conspicuamente nomeados (mysql, named, etc).

Depois, comparo minha lista de processos com lsof run as root para ver quais processos estão escutando na rede e quais estão mantendo arquivos abertos. Normalmente, isso oferece uma boa imagem dos processos de longa duração na caixa, que geralmente são sua função principal.

Notáveis exceções incluem mail - veja syslog local e mailq para detalhes sobre o que está sendo processado pelo sendmail - e serviços executados sob demanda do tipo inted, para os quais /etc/xinetd.conf é uma boa aposta, pelo menos para a mais recente Linuxes baseados em Redhat.

Espero que ajude; deixe-nos saber se você se deparar com algo em particular, podemos ajudar a identificar!

    
por 08.03.2011 / 06:30
1

Eu começaria vendo quais serviços estão sendo executados ... Em seguida, tentarei relacioná-los ao que eles hospedam. NÃO, em circunstância alguma, desligue o que você não tem ideia de que está fazendo, pois você pode quebrar o que quer que esteja rodando e se sua missão crítica (se essa é a rota que você está prestes a fazer, pausá-los) ... Você também deve verificar ver se há algum tipo de documentação.

    
por 07.03.2011 / 23:05
1

Oh querido, isso é divertido.

Você tem alguma ideia para o que eles são usados? Você pode reduzi-lo a "estes foram usados para serviços de rede", ou poderia realmente ser alguma coisa?

Eu diria que uma captura de pacotes em cada servidor é necessária, junto com uma auditoria de todos os serviços em execução. Localize os arquivos de configuração para cada serviço em execução e verifique quando os arquivos foram atualizados pela última vez - isso lhe dará uma pista sobre se algo foi personalizado e, em caso afirmativo, há quanto tempo.

Você também pode executar uma varredura de porta em cada servidor para ver quais portas estão abertas e respondendo.

Você pode obter dicas consultando serviços de rede conhecidos - EG, DNS, LDAP, etc. Você deve encontrar uma lista de todos os servidores DNS para uma determinada zona, procurando por registros NS. Tenha em mente que você pode acabar com uma lista mais longa de registros NS do que os servidores DNS ativos, mas isso lhe dará um ponto de partida.

Nenhum desses métodos é seguro por si só, mas se você jogar vários métodos de auditoria em uma determinada caixa, suas chances de encontrar tudo que valha a pena são melhoradas.

Boa sorte!

    
por 07.03.2011 / 23:06
0

Uma varredura de porta revelaria quaisquer serviços acessíveis de rede

Do servidor localmente: nmap 127.0.0.1

Ou você pode dizer ao nmap para escanear uma certa sub-rede / máscara

    
por 07.03.2011 / 23:55
0

Um outro ângulo é o que está configurado para se conectar aos servidores. Se foozle.example.com estiver configurado no cliente de email do CEO, provavelmente é o servidor de email. Clientes FTP provavelmente apontam para algum tipo de servidor web. Etc, etc.

    
por 08.03.2011 / 06:29
0

ps -ef para processos, netstat -a para serviços ouvindo e tcpdump para ver o que o tráfego está indo e voltando são ótimas sugestões. Além disso, como é Linux, há uma boa chance de haver um firewall em execução - verifique as regras configuradas para ele, dê a você uma boa pista sobre quais serviços devem ser usados neste host e hosts remotos aos quais esse host se conecta. . por exemplo. iptables --list Claro, o que é firewall existe outra coisa a ser verificada, tente lsmod para procurar por módulos de firewall e confira / var / log

    
por 08.03.2011 / 12:32