Re: [Lug-bg] наследяване на сървъри
- Subject: Re: [Lug-bg] наследяване на сървъри
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Thu, 20 Jun 2013 10:58:17 +0300
On Thu, Jun 20, 2013 at 10:30:43AM +0300, Vasil Kolev wrote:
> В 07:23 +0300 на 20.06.2013 (чт), Yordan Radunchev написа:
> > Хора, попадали ли сте в ситуация да ви връчат сървър, за който няма нито ред документирано?
> > Какво работи, защо работи, кой го ползва? При това сървъра си е production, има над 400 дена
> > ъптайм, ползва се сериозно... Какво правите в такава ситуация, какви са стъпките за
> > инвентаризиране? Идентифицарне на потребителите в passwd, на сървисиз...? От къде почвате и
> > как бихте подходили?
> >
> > r.,
> > yra
> > _______________________________________________
>
>
> Принципът е да разбереш какво точно се случва на машината (какво прави,
> какви услуги и хора има на нея), да ограничиш достъпа на който не трябва
> да го има и да почнеш малко по малко да update-ваш каквото има нужда
> (щото всичко с 400 дни uptime поне kernel трябва да му се смени).
>
> Може да тръгнеш от отворените портове или процесите в ps auxw, може
> първо от passwd файла, от инсталираните пакети (въпреки че това е малко
> тежко) и т.н.,
...от startup скриптовете (макар че това напоследък е малко сложно -
допреди пет години си имахме SysV-style init scripts и BSD-style init
scripts, после се нароиха всякакви upstart-и (а тук каква игра на думи
има...) и какво ли не). Като при гледане на startup-скриптовете не
забравяш две, не, три, уф, не, четири неща:
- не само имената на скриптовете; понякога може да си заслужава да
вземеш да ги отвориш, за да видиш дали някой кръгъл иди... така де,
администратор с много опит и оправдано самочувствие не е решил да
променя нещо директно в тях, а не в конфигурационните им файлове
- не само отделни скриптове, ами и еквивалентът на rc.local, в който
някой мързелив иди... така де, администратор, който отговаря за твърде
много неща и няма никакво време да се занимава с глупости като
разучаване на формата на startup script-ове, може да си е написал какво
ли не
- не всеки скрипт отговаря на една програма - има startup-скриптове,
които пускат неща като runit или svscan, които пък си гледат съвсем
други директории и файлове за информация за това какво да пуснат
- не само startup-скриптовете, ами и, както каза Васил, ps auxw, за да
видиш дали някой още по-кръгъл иди... така де, администратор, който
знае, че сървърът му е стабилен и нищо не може да му се случи, не е
пуснал процес "на ръка", защото няма абсолютно никакъв смисъл да се
пишат startup скриптове за нещо, което се пуска толкова елементарно
> вероятно някъде има списъци за ред за security audit на
> сървъри, може да са ти полезна отправна точка.
Всъщност това би било интересно.
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxxxxx p.penchev@xxxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint 2EE7 A7A5 17FC 124C F115 C354 651E EFB0 2527 DF13
If this sentence didn't exist, somebody would have invented it.
Attachment:
signature.asc
Description: Digital signature
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|