我得到了3个Linux服务器,其中一个是面向外部的,上面运行着Apache,另外两个我看起来没有太多用途。都在运行Redhat操作系统。
问题很简单:我如何知道这些服务器实际在做什么?创建者没有提供任何文档。
问题很简单:我如何知道这些服务器实际在做什么?创建者没有提供任何文档。
[root@server ~]# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address Stat e PID/Program name
tcp 0 0 0.0.0.0:139 0.0.0.0:* LIST EN 1880/smbd
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LIST EN 1911/nrpe
tcp 0 0 0.0.0.0:22 0.0.0.0:* LIST EN 1759/sshd
chkconfig --list | grep "3:on"
示例:[root@server ~]# chkconfig --list | grep "3:on"
NetworkManager 0:off 1:off 2:on 3:on 4:on 5:on 6:off
acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sysstat 0:off 1:on 2:on 3:on 4:on 5:on 6:off
udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
vncserver 0:off 1:off 2:on 3:on 4:on 5:on 6:off
webmin 0:off 1:off 2:on 3:on 4:off 5:on 6:off
x2gocleansessions 0:off 1:off 2:on 3:on 4:on 5:on 6:off
.
.
.
netstat -plunt
更容易记住。 - ablightcpdump
可能对确定实际使用每个服务的人很有帮助。 - abligh/etc
目录并查看修改日期。在全新安装后,该目录中的所有文件应该具有大致相同的日期/时间。由于安装通常会安装许多人们通常不使用的东西,只有那些具有较晚修改日期的文件才反映出服务器的实际用途。如果这是ext4文件系统,您还应该能够提取目录的创建日期,因此任务可能非常简单。.bash_history
文件以了解管理员的操作。这个文件可以提供丰富的信息。netstat
更好,因为它还可以显示开放的端口,例如夜间备份。find . -mtime -3
wireshark
)来观察这三者之间以及与外界的交互。你可以录制一段时间,通过不同的方式筛选录制内容,核对端口号等等。只要你知道如何观察,整个画面都会呈现在你眼前。 - goldilocks