Linux处事器安详变乱应急的一些漫笔 - 备份篇

媒介

最近连着遇到几起Linux处事器的安详应急相应，之前这方面的履历也不是很足，都是平常刷刷各人写的文章靠着一些Linux下的基本常识去说明着这屡次遇到的变乱，过后想想，在面临这屡次的应急变乱有许多处所思量的不是很全面，随写此文记载下心中所想。只管用体系自己最基本的成果完成前期应急取证的备份事变。

划重点

重要的工作说四遍

备份！ 备份！备份！备份！

原始数据的备份在应急相应说明进程中的重要性不问可知，但在这屡次的应急变乱中甲方爸爸貌似都忽略了这个题目，当我们达到现场的时辰，甲方爸爸要么是已经将被入侵处事器糟践了一波，要么是备份了，也只备份了一波日记。

体系镜像备份

备份

# dd if=/dev/sda of=bak.img 

规复

# dd if=bak.img of=/dev/sdb 

fdisk -l 查察磁盘分区环境

# fdisk -lDisk /dev/sda: 8589 MB, 8589934592 bytes255 heads, 63 sectors/track, 1044 cylinders 
Units = cylinders of 16065 * 512 = 8225280 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: 0x000a7707 
 
   Device Boot      Start         End      Blocks   Id  System 
/dev/sda1   *           1        1013     8136891   8e  Linux LVM 
/dev/sda2            1014        1044      249007+   5  Extended 
/dev/sda5            1014        1044      248976   83  Linux 

df -h 查察磁盘占用环境

# df -hFilesystem            Size  Used Avail Use% Mounted on/dev/mapper/brokenwebapps-root                      7.3G  5.8G  1.2G  84% /none                  497M  176K  497M   1% /devnone                  502M   12K  502M   1% /dev/shmnone                  502M  300K  501M   1% /var/runnone                  502M     0  502M   0% /var/locknone                  502M     0  502M   0% /lib/init/rwnone                  7.3G  5.8G  1.2G  84% /var/lib/ureadahead/debugfs 
/dev/sda5             228M   44M  173M  21% /boot 
/dev/sdb1              12G  159M   12G   2% /test 

# dd if=/dev/sda of=bak.img 举办备份，等个几分钟，备份完成

备份完成后发送至我们的说明体系

# scp bak.img root@192.168.232.132:/root/ 

挂载说明

说明体系情形 - kali 

通过losetup呼吁假造一个loop装备挂载镜像

查察第一个空闲loop装备

# losetup -f/dev/loop0 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!