Rastrear processo que tem notty

1

Eu tenho um servidor Linux (kernel Red Hat 2.6) que teve um pico de carga devido a um processo Rsync que parece ter bifurcado muitas vezes, mas o processo foi executado por rsyncuser @ notty Eu não vi nenhum cron job planejado para Naquela época, com um rsync que é executado sob esse nome, e eu suponho que se houvesse teria um tty. Como faço para rastrear o que o comando real que causou esses processos foi?

    
por Gregg Leventhal 18.02.2014 / 05:06

1 resposta

1

Começar com a suposição é provavelmente muito restritivo. Você deve gerar uma lista de possíveis causas do pico e tentar invalidá-las com base no cumprimento de seus pré-requisitos e / ou efeitos resultantes disponíveis ou não.

Sem saber sua configuração exata, parece haver pelo menos as seguintes possibilidades que podem tê-las causado

  1. a causa era local e, nesse caso, você deve procurar por entradas nos arquivos de log. Você não viu um cron job agendado, não nos Logs? Ou você viu o crontab de rsyncuser ? Ou também nos trabalhos agendados diários / horários etc. O cron de root .

  2. a causa era externa. Para verificar se isso é possível, verifique se esse usuário está executando o daemon rsync (se você o tiver, via / init). Ou se alguém puder fazer login remotamente na conta e tentar iniciar a cópia de arquivos (que também devem ter deixado rastros nos arquivos de log).

Eu provavelmente também investigaria se a conta rsyncuser tem uma senha e / ou chaves públicas ssh para ver se alguém poderia fazer login nessa conta. E se alguém com acesso root pudesse ter iniciado isso.

    
por 18.02.2014 / 06:30