У меня есть сервер CENTOS, который недавно был взломан. Однако раньше я дружил с профессором, который преподавал компьютерную безопасность, и я хотел бы дать этому человеку возможность просмотреть старые файлы, чтобы увидеть, что произошло. У меня есть место для хранения, есть ли способ для сервера CENTOS полностью клонировать себя, прежде чем я его создаю?
2 ответа
1
Вы можете вводить в заблуждение некоторых читателей словом "клон". Обычно вы клонируете систему для создания работающей системы, которая идентична. Если у вас одинаковое оборудование, это можно сделать довольно успешно, так как я давно управлял 40 удаленными серверами с помощью клонирования. Если у вас нет точного оборудования, вы можете столкнуться с некоторыми проблемами при запуске клона, хотя это гораздо проще, чем делать это с ОС MS.
Если аппаратное обеспечение схоже (т. Е. X86-процессор или 64-разрядные диски и диски sata в том же порядке), то вы можете копировать файлы из одного ящика в недавно отформатированную файловую систему на другом.
Вам нужно будет запустить место назначения на Live CD или чем-то подобном и запустить такую команду:
На исходном компьютере:
cd /rootoforig
find . -depth | cpio -o | nc -w 3 1234
На машине назначения:
nc -l -p 1234 | cpio -imduv
Если пропускная способность является проблемой, вы можете вставить компресс в середине трубы. нк это NetCat
Это будет копировать вашу файловую систему verbatum, с дублированием владельца / разрешений / времени, что может иметь решающее значение при диагностике эксплойта.
Эта передача данных НЕ зашифрована, и из-за этого будет работать намного быстрее.
Теперь у вас должна быть копия файловой системы (лучше на местном языке, чем "клон")
Если все идет хорошо, вы сможете запустить команду grub для настройки загрузки. Я использовал это довольно часто, хотя я монтирую второй диск локально и использую немного другую команду:
cd /rootoforig
find . -depth | cpio -pmduv /mnt/destinationfs
-Depth указывает find отправлять файлы в папке перед папкой, это позволяет правильно установить время доступа / владельца для папок.
Аналогичные результаты могут быть получены с rsync. Для меня rsync не существовало, когда я впервые начал это делать.
Наконец, в качестве альтернативы, если вы действительно хотите клонировать систему, вы можете запустить что-то похожее на:
# on the server w/ ip 12.3.4:
nc -l 12345 | gzip -d | dd bs=16M of=computer-dd-image.img
# on the source/client:
dd bs=16M if=/dev/sda | gzip -c | nc 1.2.3.4 12345
Конечно, Netcat не зашифрован, и изменение размера блока и добавление сжатия gzip должно несколько увеличить скорость передачи по сети. Вы также можете сделать это по ssh за счет скорости:
dd if=/dev/sda | ssh username@servername.net dd of=computer-dd-image.img
Это позволяет проводить более тщательный анализ с помощью таких программ, как Autopsy, Scapel или EnCase.
0
Конечно:
scp -prv root@compromised:/ /mount/point
/mount/point - это точка монтирования вашего образа. Варианты: -r рекурсивно копировать все внутри указанного каталога, спускаясь вниз по всем ветвям дерева; -p сохранить время модификации, время доступа и режимы, а также -v подробный режим, который может быть полезен, учитывая размер задачи.
Конечно, вы могли бы сделать то же самое с rync .