У меня есть куча виртуальных серверов Linux, оставшихся от предыдущего ИТ-отдела. У них есть названия, такие как «магия» или «вещи». Я не совсем уверен, что они делают ... или если они мне нужны ...
Как бы вы, ребята, пошли узнать о назначении этих машин? (кроме того, чтобы выключить их и посмотреть, что ломается)
Ответы:
Пара мест для начала:
netstat
) - это должно, вообще говоря, дать вам хорошее представление о том, что происходит с системой./root/.bash_history
(или других пользователей, если они не использовали root) - все, что происходит на консоли, в идеале будет связано с назначением системы./var/log
- взгляните на стандартные журналы и найдите что-нибудь связанное с приложением./var/log/dpkg.log
,/var/log/yum.log
И т.д.источник
/etc/crontab
и/etc/cron.*
и для каждого пользователя рабочих мест)ps uaxw
илиtop
, чтобы увидеть, что происходит? :)Вряд ли я знаю, но если вы получите разрешение от своего руководства, я бы подумал о приостановке виртуальных машин - вы узнаете, важны ли они быстрее, чем вы думаете, если они останутся без паузы, и никто не будет жаловаться ... ну, это говорит Вы что-то еще.
Серьезно, хотя вы могли бы потратить карьеру, пытаясь понять их, не зная по-настоящему все, что они делают. Приостановка их может показаться странной / драконовской, но в отсутствие документации я уверен, что вы могли бы продать эту идею руководству, как единовременно, чтобы посмотреть, как она будет развиваться.
источник
Я был удивлен, увидев, что первый предложенный ответ не был
ps -ef
, поэтому я добавлю его: если вы хотите знать, что система делает прямо сейчас , прочитайте список процессов, уделив особое внимание тому, что такое root, и существуют ли процессы, принадлежащие явно названным пользователям (mysql, named и т. д.).Затем я сравнил бы мой список процессов с
lsof
запуском от имени пользователя root, чтобы увидеть, какие процессы прослушивают в сети, а какие хранят открытые файлы. Как правило, это дает вам довольно хорошее представление о длительных процессах на блоке, которые обычно являются его основной функцией.Заметные исключения включают в себя почту - смотрите локальный системный журнал и
mailq
подробности о том, что обрабатывает sendmail - и сервисы запуска по требованию inted-типа, для которых/etc/xinetd.conf
это хорошая ставка, по крайней мере, для самых последних Linux-систем на базе Redhat.Надеюсь, это поможет; дайте нам знать, если вы столкнетесь с чем-то конкретным, мы можем помочь определить!
источник
lsof
.lsof -i
может быть вашим лучшим другом в этих ситуациях.Я бы начал с того, чтобы посмотреть, какие службы запущены ... Затем попытаться сопоставить их с тем, что они предоставляют. Ни при каких обстоятельствах НЕ отключайте то, о чем вы даже не подозреваете, потому что вы можете сломать то, что он выполняет, если его критическая задача (если это путь, по которому вы умираете, остановите их) ... Вы также должны проверить посмотрите, есть ли какая-либо документация.
источник
О, дорогой, это весело.
Ты хоть представляешь, для чего они используются? Можете ли вы сузить это до «они были использованы для сетевых служб», или это действительно может быть что-то вообще?
Я бы сказал, что требуется захват пакетов на каждом сервере, а также аудит всех запущенных сервисов. Найдите файлы конфигурации для каждого запущенного сервиса и проверьте, когда файлы были обновлены в последний раз - это даст вам представление о том, было ли что-то настроено, и если да, то как давно.
Вы также можете запустить сканирование портов на каждом сервере, чтобы увидеть, какие порты открыты и отвечают.
Вы можете получить подсказки, запросив известные сетевые службы - EG, DNS, LDAP и т. Д. Вы сможете найти список всех DNS-серверов для конкретной зоны, покопавшись в записях NS. Имейте в виду, что у вас может быть более длинный список записей NS, чем на самом деле активных DNS-серверов, но это даст вам отправную точку.
Ни один из этих методов не работает сам по себе, но если вы добавите несколько методов аудита в определенную ячейку, ваши шансы найти все, что стоит найти, возрастут.
Удачи!
источник
Сканирование портов выявит любые доступные сети услуги
С сервера локально:
nmap 127.0.0.1
Или вы можете сказать Nmap сканировать определенную подсеть / маску
источник
Еще один аспект - посмотреть, что настроено для подключения к серверам. Если foozle.example.com настроен в почтовом клиенте генерального директора, это, вероятно, почтовый сервер. FTP-клиенты, вероятно, указывают на какой-либо веб-сервер. И т. Д.
источник
ps -ef для процессов, netstat -a для прослушивания служб и tcpdump, чтобы увидеть, какой трафик идет туда-сюда, - отличные предложения. Кроме того, поскольку это Linux, есть хороший шанс, что запущен брандмауэр - проверьте правила, установленные для него, он должен дать вам хорошее представление о том, какие службы предполагается использовать на этом хосте и на удаленных хостах, к которым этот хост подключается. , например, iptables --list Конечно, что такое брандмауэр, есть еще одна вещь, которую нужно проверить, попробуйте lsmod для поиска модулей брандмауэра и проверьте / var / log
источник