Localiza a origem de um backup rsync

1

Eu tenho um servidor herdado (foo) que me dizem que está recebendo backups via rsync de vários hosts (bar1, bar2, etc).

Eu estou olhando para identificar informações de rede (hostname ou endereço ip) para bar de informações disponíveis no foo. Tal que eu possa entrar na barra e desabilitar qualquer backups rsync. Disseram-me que todos os dados dos sistemas de barras estão sendo armazenados em / u no foo. / u parece estar preenchido com diretórios base.

Eu não sei quando esses backups de sistemas de barra são executados ou por quanto tempo eles podem estar em execução.

    
por Sir Wumpus 16.11.2016 / 18:10

1 resposta

0

A primeira coisa que eu faço é identificar em qual momento o rsync está sendo executado. Você pode fazer isso com o auditd

Coloque um relógio no executável do rsync no seu servidor

which rsync
/usr/bin/rsync
auditctl -w /usr/bin/rsync -k rsync

Em seguida, você pode verificar periodicamente se o log de auditoria registrou algum acesso como este

ausearch -i -k rsync

Uma vez que você sabe os horários em que o rsync é executado - agora você pode identificar quais hosts remotos o usam.

Exemplo:

Veja a árvore de processos e identifique o que o rsync usa

pstree -p|grep -i rsync
        |-sshd(3861)-+-sshd(26209)---bash(26212)---rsync(27858)---rsync(27859)

E verifique quais hosts remotos estão conectados ao PID 26209

netstat -anp|grep 26209
tcp        0      0 127.0.0.1:6010              0.0.0.0:*                   LISTEN      26209/sshd          
tcp        0      0 10.10.10.20:22              10.10.10.40:64740          ESTABLISHED 26209/sshd          
tcp        0      0 ::1:6010                    :::*                        LISTEN      26209/sshd 

Tudo isso pressupõe que o rsync realmente leva algum tempo, então você pode executar os comandos pstree e netstat. Se o rsync for muito rápido - existem outras maneiras de rastrear, mas será mais pesado (o systemtap está na minha cabeça para isso, mas comece do simples e se isso não funcionar - discutiremos soluções mais complexas).

    
por 16.11.2016 / 19:56

Tags