Що цей сервер робить?

У мене є купа віртуальних серверів linux, що залишилися від попереднього відділу ІТ. Вони мають такі назви, як "магія" або "речі". Я не зовсім впевнений, що вони роблять ... або якщо мені вони потрібні ...

Як би ви, хлопці та дівчата, вирішили з’ясувати призначення цих машин? (крім того, щоб вимкнути їх і побачити, що порушується)

Кілька місць для початку:

• служби прослуховування ( netstat) - це, взагалі, повинно дати вам гідне уявлення про те, що відбувається з системою.
• /root/.bash_history (або для інших користувачів, якщо вони не використовували root) - все, що відбувається на консолі, в ідеалі буде пов'язане з ціллю системи.
• /var/log - погляньте на стандартні журнали та шукайте що-небудь, пов’язане із додатком.
• Встановлені пакети - це специфічно для розповсюдження linux, який вони працюють, але якщо журнали є, погляньте. /var/log/dpkg.log, /var/log/yum.logІ т.д.

Навряд чи я науково знаю, але якщо ви отримаєте дозвіл від свого керівництва, я б розглядав можливість призупинення віртуальних машин - ви дізнаєтесь, чи важливі вони швидше, що ви могли б подумати, якщо вони залишаються призупиненими, і ніхто не скаржиться ... ну це говорить ти щось інше.

Серйозно, хоча ви могли б провести кар’єру, намагаючись розібратися в них, не знаючи по-справжньому все, що роблять. Призупинення їх може здатися дивним / драконічним, але за відсутності документації я впевнений, що ви можете продати ідею керівництву, як спочатку одноразово, щоб побачити, як це все одно відбувається.

Я був здивований, побачивши, що перша відповідь запропонована не була ps -ef, тому я додам її: якщо ви хочете знати, що система робить зараз , прочитайте список процесів, приділяючи особливу увагу тому, який корінь є, і чи є процеси, які належать помітно названим користувачам (mysql, name тощо).

Потім я порівняю мій список процесів із lsofзапуском як root, щоб побачити, які процеси прослуховуються в мережі, а які містять відкриті файли. Зазвичай це дає досить гарну картину тривалих процесів у коробці, які зазвичай є її основною функцією.

Помітними винятками є пошта - див. Локальний syslog та mailqдетальну інформацію про те, що обробляється sendmail - та послуги вбудованого типу "на замовлення", на які /etc/xinetd.confхороша ставка, принаймні для останніх Linux-систем, що базуються на Redhat.

Надія, яка допомагає; повідомте нас, якщо ви натрапите на щось, зокрема, ми можемо допомогти визначити!

Я б почав з того, щоб побачити, які сервіси запущені ... Потім спробуйте співставити їх із тим, що вони розміщують. НЕ за жодних обставин не вимикайте те, що ви поняття не маєте, тому що ви можете зламати те, що він виконує, якщо його місія є критичною (якщо це маршрут, який ви вмираєте, потрібно зробити паузу) ... Ви також повинні перевірити подивіться, чи є якась документація.

О, дорогий, це весело.

Чи маєте ви уявлення, для чого вони використовуються? Чи можете ви звузити це до "ці використовувались для мережевих сервісів", чи це взагалі може бути щось?

Я б сказав, що захоплення пакетів на кожному сервері необхідне, а також аудит усіх запущених служб. Знайдіть конфігураційні файли для кожної запущеної служби та перевірте, коли файли востаннє оновлювались - це дасть вам зрозуміло, чи щось було налаштовано, а якщо так, то як давно.

Ви також можете запустити сканування портів на кожному сервері, щоб побачити, які порти відкриті та відповідають.

Ви можете отримати підказки, запитуючи відомі мережеві послуги - EG, DNS, LDAP і т. Д. Ви повинні мати можливість знайти список усіх DNS-серверів для певної зони, викопавши для записів NS. Майте на увазі, що у вас може з’явитися довший список записів NS, ніж насправді є активні сервери DNS, але це дасть вам вихідну точку.

Жоден із цих методів не є впевненим у собі, але якщо ви підкинете кілька методів аудиту до конкретного поля, шанси знайти все, що варто знайти, підвищуються.

Удачі!

Сканування порту дозволить виявити будь-які мережі, доступні для обслуговування

З локального сервера: nmap 127.0.0.1

Або ви можете сказати nmap для сканування певної підмережі / маски

Ще один кут - це погляд на те, що налаштовано для підключення до серверів. Якщо foozle.example.com налаштований у клієнті електронної пошти генерального директора, це, мабуть, поштовий сервер. Клієнти FTP, ймовірно, вказують на якийсь веб-сервер. І т.д.

ps -ef для процесів, netstat - для прослуховування служб та tcpdump, щоб побачити, який трафік рухається туди-сюди - чудові пропозиції. Крім того, оскільки це Linux, є хороший шанс, що працює брандмауер - ознайомтеся з налаштуваннями правил, він повинен дати вам зрозумілу інформацію, які послуги очікуються для використання на цьому хості та віддалених хостах, до яких цей хост підключається. . наприклад, iptables --list Звичайно, який брандмауер є іншим, що слід перевірити, спробуйте lsmod шукати модулі брандмауера та перевірити / var / log