나는 다양한 호스트(bar1, bar2 등)로부터 rsync를 통해 백업을 수신한다고 들었던 상속된 서버(foo)를 가지고 있습니다.
foo에서 제공되는 정보에서 bar의 네트워크 정보(호스트 이름 또는 IP 주소)를 식별하려고 합니다. 이렇게 하면 바에 로그인하여 rsync 백업을 비활성화할 수 있습니다. bar 시스템의 모든 데이터는 foo의 /u에 백업된다고 들었습니다. /u는 홈 디렉토리를 채우는 것 같습니다.
게시 시스템의 이러한 백업이 언제 실행될지, 얼마나 오래 실행될 수 있는지 모르겠습니다.
답변1
내가 가장 먼저 한 일은 rsync를 실행하는 데 걸리는 시간을 확인하는 것이었습니다. 이 작업을 수행하려면 auditd를 사용할 수 있습니다.
서버에서 rsync 실행 파일을 모니터링합니다.
which rsync
/usr/bin/rsync
auditctl -w /usr/bin/rsync -k rsync
그런 다음 auditd가 이와 같은 액세스를 기록했는지 정기적으로 확인할 수 있습니다.
ausearch -i -k rsync
rsync가 실행되는 시기를 알고 나면 이제 이를 사용하는 원격 호스트를 식별할 수 있습니다.
예:
프로세스 트리를 보고 rsync가 무엇을 사용하는지 확인하세요.
pstree -p|grep -i rsync
|-sshd(3861)-+-sshd(26209)---bash(26212)---rsync(27858)---rsync(27859)
PID 26209에 연결된 원격 호스트를 확인하세요.
netstat -anp|grep 26209
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 26209/sshd
tcp 0 0 10.10.10.20:22 10.10.10.40:64740 ESTABLISHED 26209/sshd
tcp 0 0 ::1:6010 :::* LISTEN 26209/sshd
이 모든 것은 pstree 및 netstat 명령을 실행할 수 있도록 rsync가 실제로 약간의 시간이 걸린다고 가정합니다. rsync가 매우 빠른 경우 - 추적을 수행하는 다른 방법이 있지만 더 힘들 것입니다(systemtap을 생각했지만 간단하게 시작하고, 작동하지 않으면 더 복잡한 솔루션에 대해 논의하겠습니다).