Co robi ten serwer?

13

Mam resztę wirtualnych serwerów linux z poprzedniego działu IT. Mają nazwy takie jak „magia” lub „rzeczy”. Nie jestem do końca pewien, co robią ... lub czy ich potrzebuję ...

Jak moglibyście się dowiedzieć, jaki jest cel tych maszyn? (oprócz ich wyłączenia i zobaczenia, co się psuje)

linux virtual-machines configuration blsub6
źródło
2
Czy masz dane logowania do tych maszyn?
Skyhawk,
Mam poświadczenia, aby zrobić to, czego potrzebuję do maszyn
blsub6,
9
Całkowicie bezwartościowy komentarz, ale tytuł tego pytania byłby świetnym teleturniejem.
Matt Simmons,

Odpowiedzi:

20

Kilka miejsc na początek:

  • odsłuchiwanie usług ( netstat) - ogólnie rzecz biorąc, powinno to dać ci przyzwoity obraz tego, co się dzieje z systemem.
  • /root/.bash_history (lub innych użytkowników, jeśli nie korzystali z roota) - wszystko, co dzieje się na konsoli, będzie idealnie powiązane z przeznaczeniem systemu.
  • /var/log - rzuć okiem na standardowe dzienniki i poszukaj wszystkiego, co dotyczy aplikacji.
  • Zainstalowane pakiety - jest to specyficzne dla dystrybucji uruchomionego linuxa, ale jeśli są tam logi, spójrz. /var/log/dpkg.log, /var/log/yum.logitp.
Shane Madden
źródło
2
Inne rzeczy do obejrzenia to zadania crona (zarówno zadania systemowe, jak /etc/crontabi /etc/cron.*zadania na użytkownika)
DerfK
1
a co z ps uaxwlub top, aby zobaczyć, co się dzieje? :)
KARASZI István
12

Wiem, że to mało naukowe, ale jeśli dostaniesz pozwolenie od kierownictwa, rozważę zatrzymanie maszyn wirtualnych - dowiesz się, czy są one ważniejsze szybciej, niż myślisz, jeśli pozostanie wstrzymane, a nikt nie narzeka ... cóż, to mówi ty coś jeszcze.

Poważnie, choć możesz poświęcić karierę, próbując je rozgryźć, nie wiedząc naprawdę wszystkiego, co robią. Wstrzymywanie ich może wydawać się dziwne / drakońskie, ale przy braku dokumentacji jestem pewien, że możesz sprzedać pomysł kierownictwu, jako pierwszy raz, aby zobaczyć, jak to pójdzie.

Siekacz 3
źródło
4
+1 - jedynym sposobem, aby dowiedzieć się, jakie usługi są uruchomione, jest wyłączenie. Moje ostatnie zadanie miało „serwer wydruku” systemu Windows NT4, który upłynął wiele lat po tym, jak powinien był umrzeć. W dniu, w którym zostało wyłączone, zepsuła się cała masa rzeczy, o których nikt nie wiedział, że działają na tym pudełku.
voretaq7
1
Zatrzymaj je i poczekaj. A po upływie dwóch miesięcy i losowy użytkownik skarży się, że udział, skrót lub coś innego nie działa (ale zadziałało!), Włącz je.
adamo,
5
@adamo ... chwilowo przenieść dane / funkcjonalność na rozpoznaną obsługiwaną maszynę / maszynę wirtualną, a następnie wyłączyć, jeśli ponownie.
Chopper3
7

Byłem zaskoczony, widząc, że pierwsza sugerowana odpowiedź nie była ps -ef, więc dodam ją: jeśli chcesz wiedzieć, co robi teraz system , przeczytaj listę procesów, zwracając szczególną uwagę na to, co jest rootem, i czy istnieją procesy należące do użytkowników o widocznych nazwach (mysql, o nazwie itp.).

Następnie porównałbym moją listę procesów z lsofuruchomioną jako root, aby zobaczyć, które procesy nasłuchują w sieci, a które przechowują otwarte pliki. Zazwyczaj daje to całkiem dobry obraz długotrwałych procesów na pudełku, które zwykle są jego główną funkcją.

Godne uwagi wyjątki obejmują pocztę - patrz lokalny mailqdziennik systemowy i szczegółowe informacje na temat tego, co jest przetwarzane przez sendmail - oraz usługi typu run-on na żądanie typu inted, dla których /etc/xinetd.confjest to dobry wybór, przynajmniej dla najnowszych Linuksów opartych na Redhat.

Mam nadzieję, że to pomaga; daj nam znać, jeśli napotkasz coś konkretnego, możemy pomóc w identyfikacji!

Jeff Albert
źródło
+1 dla lsof. lsof -imoże być twoim najlepszym przyjacielem w takich sytuacjach.
Brian
1

Zacznę od sprawdzenia, jakie usługi są uruchomione ... Następnie spróbuj dopasować te do tego, co one hostują. W żadnym wypadku nie wyłączaj zasilania tego, o czym nie masz pojęcia, ponieważ możesz złamać wszystko, co się dzieje i jeśli jego misja jest krytyczna (jeśli to jest droga, którą umrzesz, zatrzymaj ją) ... Powinieneś również sprawdzić, czy sprawdź, czy istnieje jakaś dokumentacja.

Jakub
źródło
1

Och kochanie, to jest zabawne.

Czy masz pojęcie, do czego służą? Czy możesz zawęzić to do „tych, które były używane do usług sieciowych”, czy naprawdę może to być cokolwiek?

Powiedziałbym, że konieczne jest przechwytywanie pakietów na każdym serwerze wraz z audytem wszystkich uruchomionych usług. Znajdź pliki konfiguracyjne dla każdej uruchomionej usługi i sprawdź, kiedy pliki były ostatnio aktualizowane - to da ci wskazówkę, czy coś zostało dostosowane, a jeśli tak, to jak dawno temu.

Możesz także uruchomić skanowanie portów na każdym serwerze, aby sprawdzić, które porty są otwarte i odpowiadają.

Możesz uzyskać wskazówki, sprawdzając znane usługi sieciowe - EG, DNS, LDAP itp. Powinieneś być w stanie znaleźć listę wszystkich serwerów DNS dla określonej strefy, wykopując rekordy NS. Pamiętaj, że możesz mieć dłuższą listę rekordów NS niż faktycznie aktywne serwery DNS, ale da ci to punkt wyjścia.

Żadna z tych metod nie jest z pewnością wystrzeliwana sama, ale jeśli rzucisz wiele metod audytu w konkretną skrzynkę, twoje szanse na znalezienie wszystkiego, co warte jest znalezienia, wzrosną.

Powodzenia!

Jeremy
źródło
+1 za pierwsze zdanie, które, jestem pewien, wszyscy myślą o czytaniu pytania. :)
John Gardeniers,
0

Skanowanie portów ujawniłoby wszelkie usługi dostępne w sieci

Z serwera lokalnie: nmap 127.0.0.1

Lub możesz nakazać nmap przeskanować określoną podsieć / maskę

sreimer
źródło
2
A nawet po prostu netstat.
John Gardeniers,
0

Innym kątem jest spojrzenie na to, co jest skonfigurowane do łączenia się z serwerami. Jeśli foozle.example.com jest skonfigurowany w kliencie e-mail CEO, prawdopodobnie jest to serwer pocztowy. Klienci FTP prawdopodobnie wskazują na jakiś serwer WWW. Itd itd.

Wyatt Barnett
źródło
Chociaż to zadziałałoby, problem polega na tym, że każda inna maszyna, a może nawet każde konto użytkownika na tych komputerach musiałyby zostać sprawdzone, a nie tylko maszyny docelowe.
John Gardeniers,
Niezupełnie - jeśli tak naprawdę są to serwery, sprawdzenie próbki powinno powiedzieć, jaka jest większość tych skrzynek. Lub przynajmniej powszechnie dostępne. Uderza mnie to, że możesz także przyjrzeć się regułom zapory sieciowej, które obejmują usługi dostępne z zewnątrz.
Wyatt Barnett
0

ps -ef dla procesów, netstat -a dla nasłuchiwania usług i tcpdump, aby zobaczyć, jaki ruch jest tam iz powrotem, są świetnymi sugestiami. Ponadto, ponieważ jest to Linux, istnieje duża szansa, że ​​działa zapora ogniowa - sprawdź skonfigurowane dla niej reguły, powinien dać ci dobrą wskazówkę, jakie usługi mają być używane na tym hoście i hostach zdalnych, z którymi ten host się łączy. . np. iptables - lista Oczywiście, czym jest zapora ogniowa, jest jeszcze jedna rzecz do sprawdzenia, wypróbuj lsmod, aby znaleźć moduły zapory ogniowej i sprawdź / var / log

Bob T.
źródło