Kế thừa máy chủ hiện có

9

Tôi vừa được thừa hưởng 6 máy chủ web từ anh chàng máy chủ trước đó đã bị sa thải, tôi không phải là một sysadmin Tôi là một DevOps.

Bất cứ ai cũng có thể chỉ cho tôi một số loại danh sách kiểm tra tiêu chuẩn mà người ta sẽ theo dõi khi kế thừa các máy chủ hiện có? Những điều tôi cần biết là:

  1. Phần mềm nào trên máy chủ
  2. Những điều tiêu chuẩn tôi nên làm để kiểm tra chúng có an toàn không?
  3. những gì đang kết nối với họ và những gì họ cũng kết nối?
  4. Những gì tôi nên biết?

Bất kỳ lời khuyên nào đều được chào đón, tôi đã hy vọng có một loại danh sách kiểm tra tiêu chuẩn mà một người sẽ làm theo như một sự khởi đầu, nhưng tôi không thể tìm thấy bất cứ điều gì.

Tất cả các máy chủ là Ubuntu (phiên bản khác nhau)

linux  ubuntu 
người dùng3408844
nguồn
3
Bạn không phải là một DevOps. DevOps không phải là một tiêu đề, đó là một văn hóa.
gWaldo
Điều gì sẽ là một thuật ngữ tốt hơn để sử dụng cho "Nhà phát triển buộc phải thực hiện công việc sysadins mà không có chuyên môn về sysadmin nhưng hiểu rõ về tất cả các khái niệm liên quan và có đủ kinh nghiệm để 'có được'"
user3408844
Đồng ý đọc DevOps trên Wikipedia Tôi thấy tôi đã sử dụng nó không đúng, nhưng dường như nó đã trở thành tiếng lóng trong cuộc sống hàng ngày của các nhà phát triển phải trở thành bán syadins
user3408844 13/03/2016
Thuật ngữ cho những gì bạn mô tả là "Nhà phát triển" hoặc "Nhà phát triển buộc phải đảm nhận một số nhiệm vụ Hệ thống / Hoạt động".
gWaldo
Ồ - rất nhiều nỗ lực đặt vào đó
user3408844

Câu trả lời:

24

  1. Để xác định phần mềm nào đã được cài đặt, bạn có thể xem lại /var/log/dpkg.log Tuy nhiên, đây có thể không phải là một bản ghi hoàn chỉnh. Có thể có các tệp nhị phân và mã được biên dịch thủ công hoặc sao chép trực tiếp vào hệ thống được biên dịch trước. Bạn có thể so sánh một bản cài đặt mặc định của cùng một phiên bản Ubuntu và gõ với (các) máy chủ và tìm kiếm những tập tin nào khác nhau, nhưng điều đó có thể khá tẻ nhạt. Một giải pháp giám sát tệp sẽ là lý tưởng (tripewire, inotifywatch, v.v.) http://linuxcommando.blogspot.com/2008/08/how-to-show-apt-log-history.html

  2. Bạn cần kiểm tra MỌI THỨ trên máy chủ. Mọi tài khoản người dùng trong / etc / passwd , mọi tài khoản người dùng ứng dụng (như người dùng trong Apache / PHP, tài khoản cơ sở dữ liệu, v.v.) nên được tính và bạn nên thay đổi tất cả mật khẩu. Bạn nên kiểm tra xem những dịch vụ nào được khởi chạy khi khởi động, runlevel mặc định là gì và những gì bắt đầu với nó và với các runlevels khác. Tôi sẽ sử dụng một máy quét lỗ hổng và một công cụ cấu hình cơ bản để kiểm tra trạng thái hiện tại. Trung tâm Bảo mật Internet cung cấp một công cụ đánh giá cấu hình miễn phí, nhưng nó có thể bị hạn chế. Họ có các công cụ tiên tiến hơn cho các tổ chức thành viên ($). http://benchmark.cisecurity.org/ OpenVAS là một máy quét FOSS, không giống như Nessus, có thể có khả năng tương tự. Có rất nhiều, rất nhiều điều nữa để kiểm tra, nhưng câu trả lời này đã hơi lâu ... (Đánh giá mã cho các ứng dụng web và trang web là một ví dụ tốt.)

  3. Bạn có thể thấy xem lại trạng thái của các cổng có sẵn cho các kết nối đến máy chủ với nhiều cờ khác nhau cho netstat . http: //www.thegeek ware.com/2010/03/netstat-command-examples/ Để xác định ai đã kết nối với máy chủ, bạn sẽ phải dùng đến các hoạt động Internet Security hấp dẫn nhất, xem xét nhật ký hệ thống. Thông tin có thể nằm trong bất kỳ một trong số một số nhật ký tùy thuộc vào ứng dụng và máy chủ nào trên hệ thống. Bạn cũng có thể có một số may mắn với nhật ký mạng bên ngoài, nếu chúng tồn tại.

  4. Bạn có rất nhiều theo dõi để làm. Bạn chỉ ra rằng quản trị viên trước đó đã bị sa thải ; nếu bạn nghi ngờ mục đích xấu từ người đó (ví dụ như họ có thể đã để lại các cửa hậu, bẫy boobie, bom logic, v.v.) thì bạn gần như chắc chắn sẽ xây dựng lại các máy chủ từ phương tiện sạch và thực hiện lại các ứng dụng web trên chúng. Nếu quản trị viên trước này có quyền truy cập và kiểm soát hoàn toàn vào các hệ thống đó và không phải chịu sự kiểm tra và kiểm tra kỹ lưỡng, có lẽ bạn nên cho rằng có các cửa hậu.

Điều này dựa trên một giả định bi quan về quản trị viên trước đó. Thật không may, đó là cách mà cookie sụp đổ để bảo mật mạng hoạt động. Có rất nhiều điều để xem xét, như tôi đã nói ... nhiều hơn có thể được đề cập ở đây. Những điểm này sẽ cung cấp cho bạn một số điều để bắt đầu thực hiện để bạn có thể báo cáo cho quản lý rằng bạn đang đạt được một số tiến bộ; nhưng thành thật mà nói, nếu bạn không phải là một chuyên gia bảo mật và bạn có lý do để nghi ngờ người này đã hành động với ác ý, có lẽ bạn đang ở trong đầu bạn.

Đó là một câu trả lời không phổ biến với ban quản lý vì nó đòi hỏi rất nhiều nỗ lực (có nghĩa là nhiều hơn $), nhưng câu trả lời có đầu óc bảo mật chung là khi nghi ngờ, hãy xóa sạch và xây dựng lại từ các nguồn sạch . Đó là cách các hệ thống chính phủ quan trọng nhất hoạt động với phần mềm độc hại; nếu một cảnh báo phát ra từ AV, hệ thống sẽ được tách riêng, xóa sạch và xây dựng lại. Hy vọng bạn đã tạo một bản sao lưu dữ liệu đó là Gone .

Chúc may mắn, và tôi hy vọng điều này hữu ích và không chỉ là chán nản.

Xe đẩy 0x
nguồn
Câu hỏi này cũng có thể rất phù hợp với trang web StackExchange www.AskUbfox.com
0xSheepdog
2
Câu trả lời tuyệt vời.
EEAA
3
Xóa và xây dựng lại có lẽ được thực hiện dễ dàng hơn nhiều nếu bạn có quản lý cấu hình khai báo tốt. Nếu bạn không, có lẽ bạn nên xem xét làm việc hướng tới mục tiêu đó.
zigg
2
/var/log/dpkg.logrất phù hợp để xem lại quá trình cài đặt (và tìm lỗi), nhưng để có được danh sách các gói đã cài đặt, đầu ra dpkg -lhoặc thậm chí đơn giản hơn dpkg --get-selectionssẽ dễ tiêu hóa hơn.
Dubu
0

Các trang nam là bạn của bạn: 

 man <command>

Kiểm tra các lệnh thường được sử dụng và cách sử dụng của chúng. Tìm thêm trợ giúp trong các trang man cho mỗi hoặc trong một số trường hợp bằng cách chạy

  <command> --help

Phần mềm:

  • dpkg -l (danh sách cài đặt phần mềm)
  • ps -ef | more (lấy danh sách các tiến trình đang chạy và tạm dừng để đọc)

Bảo vệ:

  • iptables (cổng nào đang mở và chúng cần thiết)
  • kiểm tra cập nhật với apt-get (các máy chủ có được cập nhật không?)
  • cat / etc / passwd (người có tài khoản trên hộp)
  • sshd (kiểm tra xem sshd có đang chạy không và ai có thể đăng nhập vào đó)

Kết nối:

  • netstat (dịch vụ nào đang lắng nghe và trên cổng nào)

Chúc may mắn. Thật khó khăn khi kế thừa một loạt máy chủ mà không có người điều hành chúng có cơ hội đào tạo bạn. Nếu anh chàng bị sa thải, điều đó còn đáng lo ngại hơn vì tôi cho rằng có lý do và nếu tôi cũng cho rằng đó là công việc liên quan thì có thể có một số thiết lập lạ trong lô.

Chris Jones
nguồn
0

  1. ứng dụng nào đang chạy: thực hiện "ps -ef" hoặc "ps -auxw" để lấy danh sách quy trình. loại bỏ tất cả mọi thứ không liên quan đến kernel, tìm kiếm những thứ đang chạy, làm các trang man trên mỗi trang để tìm ra nó là gì. hầu hết các quy trình đang chạy bạn có thể bỏ qua một cách an toàn vì chúng không phải là ứng dụng người dùng

  2. để bảo mật: thực hiện "netstat -pan" để xem cổng nào đang mở và đóng bất kỳ cổng nào không cần thiết. Nói cách khác, các cổng duy nhất nên được mở là các cổng tương ứng với các dịch vụ mạng được cung cấp bởi các máy chủ này. Nếu máy chủ là một máy chủ web, thì rõ ràng nó cần phải nghe trên cổng 80/443 / vv. Nhưng nếu máy chủ đang nghe trên cổng 21 và không có ai sử dụng nó, thì bạn nên tắt quá trình mở cổng đó.

  3. đối với các kết nối, một lần nữa "netstat -pan" cho bạn câu trả lời. Nó cho bạn biết máy chủ nào được kết nối và cổng nào được kết nối.

  4. xem qua các bản ghi trong / var / log để có ý tưởng về những gì hệ thống họ đang làm và để xem liệu có bất kỳ lỗi rõ ràng hoặc cờ đỏ nào đến từ các ứng dụng khác nhau không.

Michael Martinez
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.