J'ai reçu 3 boîtes Linux, 1 orientée vers l'avant avec Apache dessus et les 2 autres qui, autant que je sache, ne font pas grand-chose. Tous fonctionnant sous Redhat.
La question est simple: Comment puis-je savoir ce que fait réellement le serveur? Aucune documentation n'est disponible auprès du créateur.
Débranchez le câble ethernet et voyez qui est contrarié.
Plus sérieusement, les machines mystérieuses comme celle-ci créent beaucoup de surcharge mentale pour une équipe et ne fournissent souvent aucune valeur commerciale. Parlez à votre patron, si personne ne sait ce qu'elle fait, peut-être que personne ne se soucie de ce qu'elle fait.
NE L'ÉTEIGNEZ PAS. Débranchez le câble Ethernet, si vous voulez tester en criant. Si vous n'avez jamais eu de boîtier avec un temps de fonctionnement de deux ans échouer à redémarrer, vous le ferez à un moment donné. Ce n'est pas le moment d'ajouter cette frustration à l'équation. (Je copie ceci ici car cela doit être lu.)
Vous avez tout à fait raison, j'ai modifié le post pour refléter cela. J'étais un peu facétieux mais je peux toujours être facétieux sans promouvoir le désastre.
Avant de débrancher le réseau, il est une bonne idée de sauvegarder une liste des processus en cours d'exécution et des sockets ouverts sur chaque serveur - au cas où quelque chose dépendrait d'une connexion TCP entre les serveurs qui serait restée ÉTABLIE pendant de nombreux mois sans que personne ne pense à automatiser les étapes nécessaires pour l'ouvrir en premier lieu. (Par exemple, si quelqu'un avait besoin d'un transfert de port ssh temporaire puis l'a oublié.)
C'est une question assez large pour le format Serverfault, mais voici un bon début :
Vous n'avez pas mentionné la version, j'ai donc omis les détails.
Il y a quelque chose de plus important que les services qui sont configurés pour démarrer lorsque le système démarre. Quels services sont actuellement en cours d'exécution? Démarrer un service et oublier de le configurer pour qu'il démarre au démarrage n'est pas une erreur difficile à commettre. En relation avec ceci, il est bon de regarder d'autres états du système tels que : les points de montage, la table de routage, les règles iptables. Toutes ces choses pourraient facilement être modifiées pendant que le système est en cours d'exécution sans penser à mettre à jour les fichiers de configuration utilisés lors du démarrage.
En outre, je utiliserais un scanner de port pour voir quels ports sont ouverts, puis essayer de s'y connecter en utilisant les outils habituels. Par exemple, si le port 443 est ouvert, vous pourriez essayer d'utiliser un navigateur Web pour s'y connecter. J'ai souvent dû explorer des serveurs apparemment abandonnés et l'un de mes outils préférés pour naviguer rapidement à travers les fichiers de configuration dans /etc et d'autres endroits est d'utiliser "lynx" ou "links" si vous préférez. Ce sont des navigateurs Web basés sur des caractères qui font également un assez bon travail en tant que navigateur de fichiers, avec une navigation pratique à l'aide des touches de curseur.
@kasperd Beau jeu pour la course contre des services persistants. Mais, j'ai pensé aux règles du pare-feu, aux points de montage, etc. Ils me semblent être des composants accessoires qui seront déjà liés à l'un des points existants. Votre expérience peut varier.
Il y a quelques choses que vous pourriez faire pour essayer de déterminer ce qui se passe sur votre système.
Vous pouvez vérifier sur quels ports votre serveur écoute pour avoir une idée de ce qui se trouve dessus. Une bonne commande à utiliser serait :
[root@server ~]# netstat -tulpn
Connexions Internet actives (serveurs uniquement)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Nom du programme
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 1880/smbd
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 1911/nrpe
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1759/sshdComme vous pouvez le voir dans la sortie exemple ci-dessus, il vous présente la version du protocole (tcp ou udp), l'adresse sur laquelle il écoute, le port ouvert et le programme qui écoute.
Dans l'exemple tronqué ci-dessus (une machine serveur), vous pouvez voir que les ports tcp 139, 5666 et 22 sont en écoute. Ils correspondent respectivement à samba, nrpe (agent Nagios) et ssh, et cela est confirmé lorsque vous vérifiez le programme qui écoute sur ce port.
De plus, vous pouvez vérifier la liste des démons qui sont configurés pour démarrer au démarrage. Pour cela, exécutez : chkconfig --list | grep "3:on"
Exemple :
[root@server ~]# chkconfig --list | grep "3:on"
NetworkManager 0:off 1:off 2:on 3:on 4:on 5:on 6:off
acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sysstat 0:off 1:on 2:on 3:on 4:on 5:on 6:off
udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
vncserver 0:off 1:off 2:on 3:on 4:on 5:on 6:off
webmin 0:off 1:off 2:on 3:on 4:off 5:on 6:off
x2gocleansessions 0:off 1:off 2:on 3:on 4:on 5:on 6:off
.
.
.ou :
service --status-all
Une autre méthode consiste à vérifier le répertoire /etc et regarder les dates de modification. Après une nouvelle installation, tous les fichiers de ce répertoire devraient avoir à peu près la même date/heure. Et comme une installation installe généralement beaucoup de choses que les gens n'utilisent généralement pas, seuls les fichiers ayant une date de modification ultérieure reflètent le véritable but du serveur. Si c'est du ext4, vous devriez également pouvoir extraire la date de création des répertoires, donc la tâche pourrait être assez facile.
Une autre méthode consisterait à vérifier les fichiers .bash_history pour voir ce que les administrateurs ont fait. Ce fichier peut fournir une mine d'informations.
Vérifiez les règles du pare-feu. Avec un peu de chance, il est configuré pour un mode refus par défaut. Cela signifie qu'il existe une règle explicite pour chaque service autorisé.
C'est mieux que netstat car cela peut également montrer les ports qui sont ouverts, par exemple pour les sauvegardes nocturnes.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
7 votes
La liste des processus, les écouteurs réseau (peut-être comparer à ce qui aurait dû être en cours d'exécution en se basant sur les scripts d'initialisation) ...
0 votes
"handed" comme accordé? (pour votre propre usage?) - Si c'est le cas, effacez et réinstallez à neuf, utilisez comme vous le souhaitez, est-ce important ce qu'ils ont fait?
1 votes
"handed" tel que donné pour soutien :|
5 votes
Putain! surement quelqu'un sait ce qu'ils sont pour? donc ils veulent que vous les souteniez mais ne savent pas ce qu'ils font ?!
2 votes
Incroyablement, cela arrive bel et bien. J'ai déjà été dans cette situation.
3 votes
Cela arrive vraiment. Je suis deux semaines dans le processus de découverte dans un environnement non documenté et orphelin. Mais la différence, c'est que je sais ce qu'il faut chercher... À l'auteur du post, comment vous êtes-vous retrouvé dans cette situation ? Nous pouvons répondre de manière générale, mais il doit y avoir quelqu'un qui en sait plus sur la configuration.
0 votes
La première face avant pourrait être un équilibreur de charge qui dirige le trafic vers les deux autres en fonction de leur charge.
11 votes
Éteignez-les. Quelqu'un vous dira, presque immédiatement, ce qui ne fonctionne pas.
3 votes
Comme l'a dit jscott - également, dans l'état éteint, ils continuent à effectuer toutes les tâches documentées :)
58 votes
NE L'ÉTEIGNEZ PAS. Débranchez le câble Ethernet, si vous souhaitez effectuer un test de cri. Si vous n'avez jamais vu un boîtier avec une durée de fonctionnement de deux ans échouer au redémarrage, cela arrivera à un moment donné. Ce n'est pas le moment d'ajouter cette frustration à la situation.
1 votes
@AaronCopley Des paroles très sages. J'ai moi-même été confronté à cette situation. Et pour information : Je ne les ai pas éteints. J'ai reçu 8 de ces choses dans une caisse d'expédition. Plusieurs disques ont échoué, 3 alimentations électriques. Et 2 n'ont pas pu récupérer complètement un raid corrompu : Ils avaient visiblement juste arraché les cordons d'alimentation et les piles de secours de ces caches de contrôleur raid étaient depuis longtemps mortes.
7 votes
Ce que tout le monde a dit, mais également : exécutez nmap contre eux.
0 votes
Pour répondre à la question de la manière dont j'ai obtenu cela : il s'agit d'un nouveau contrat de support qui a été transféré. L'ancien contrat était moins formel et nécessitait très peu de documentation. Certaines informations remontent à 5 ans, donc même si l'ancienne entreprise voulait nous aider, les techniciens qui ont mis en place les serveurs sont partis depuis longtemps.
2 votes
Utilisez un sniffer de paquets local (par exemple
wireshark) pour observer comment les trois interagissent les uns avec les autres et avec le monde. Vous pouvez enregistrer pendant un certain temps, filtrer l'enregistrement de diverses manières, corroborer les numéros de port, etc. -- le tableau complet sera là si vous savez comment l'interpréter.0 votes
Question liée concernant un serveur Windows 2003. Les réponses les plus votées ne sont pas spécifiques à un système d'exploitation.
0 votes
@la suggestion de @goldilocks est bonne - si vous ne pouvez pas tcpdump/Wireshark directement, peut-être pouvez-vous mirroirer les ports du commutateur pour les serveurs et enregistrer le trafic sur une poste de travail sans interférer avec celui-ci.
0 votes
Je suis d'accord avec ce que Katherine a dit à propos d'exécuter nmap dessus (depuis une machine distante). Cela est utile pour vous donner une "inventaire" de tout port ouvert qui pourrait potentiellement être utilisé activement (fournissant ainsi des indices utiles sur sa fonction), mais qui ne sont pas nécessairement toujours significatifs. Dans certains cas, vous pouvez même vous connecter en telnet à différents ports juste pour voir si vous obtenez une réponse ou s'ils écoutent les connexions entrantes. Également utile si vous avez un accès direct au serveur, utilisez netstat -an
0 votes
Pendant que cette question est extrêmement large et excessive, elle ne l'est pas en même temps. Beaucoup d'entre nous avons été confrontés à ce même défi, et même si nos solutions spécifiques varieront grandement, le fait est que de nombreux nouveaux professionnels ne savent tout simplement pas par où commencer. Cette question semble proposer un bon point de départ pour n'importe qui, même pour des professionnels très expérimentés. Une liste de contrôle serait géniale !