lunes, 22 de agosto de 2011

Analizar caida del sistema sin estress



En una empresa existen numerosos conflictos de intereses, y casi siempre ocurre con el departamento de informática, porque seamos sinceros, cuando se cae un servidor por un fallo, o por un ataque desde el exterior o interior de nuestra organización, los distintos departamentos como la dirección le da igual como ha ocurrido, quieren que todo vuelva a la normalidad. Pero claro, el departamento de informática no opina lo mismo, es necesario tiempo para analizar y comprender que ha ocurrido para poder estar preparado para la próxima vez. ¿Adivináis quien se lleva el gato al agua?
Con esta pequeña idea, podemos hacer que todos ganen, podemos reinstalar completamente el sistema Linux inmediatamente si es necesario, pero además, tendremos todo el tiempo del mundo para analizar lo que ha ocurrido
Lo primero que vamos a realizar es una imagen del disco del servidor caido o atacado, la opción mas fácil es usar una distribuión LiveCD de linux que normalmente vienen con la herramienta llamada “dd”, existen otras, que añaden funcionalidad a esta como es añadir barras de proceso y hashes al vuelo, pero eso será para otro post.
Para hacer la copia basta con realizar lo siguiente.
dd if=/dev/hda of=/mnt/disco_externo/imagen.img
Con esto, conseguimos una imagen en una unidad externa de todo el disco duro, evidentemente, primero habrá que montar la unidad externa, y el origen de la unidad del sistema, dependera de donde lo tengamos.
Una vez terminada la imagen, que incluirá la tabla de particiones, la forma más sencilla de ir montando cada una de las particiones en otro equipo del laboratorio es con la herramienta kpartx. Sus parámetros son muy sencillos:
Listamos la lista de particiones que con tiene la imagen del disco
# kpartx -l image.img
loop1p1 : 0 512020 /dev/loop1 61
loop1p2 : 0 512000 /dev/loop1 412062
loop1p3 : 0 44056010 /dev/loop1 924060

Hacemos accesible las particiones donde estarán ubicadas en /dev/mapper/loop1pX (donde X es el número de partición)
# kpartx -a -v image.img
add map loop1p1 (253:6): 0 512020 linear /dev/loop1 61
add map loop1p2 (253:7): 0 512000 linear /dev/loop1 412062
add map loop1p3 (253:8): 0 44056010 linear /dev/loop1 924060
# ls -l /dev/mapper
total 0
crw-rw---- 1 root root 10, 62 2010-06-15 17:40 control
brw-rw-r-- 1 aramosf aramosf 253, 6 2019-08-16 00:28 loop1p1
brw-rw-r-- 1 aramosf aramosf 253, 7 2011-04-01 00:28 loop1p2
brw-rw-r-- 1 aramosf aramosf 253, 8 2011-04-01 00:28 loop1p3

Posteriormente montamos cada partición que queramos analizar.
# mount /dev/mapper/loop1p1 /mnt/raiz -o ro
# mount /dev/mapper/loop1p2 /mnt/var -o ro

Ya tenemos todo montado para poder ver con toda la tranquilidad los log del sistema, realizar comprobaciones de los hash de los procesos, etc.
Y para terminar, desmontamos las unidades y la imagen
# umount /mnt/raiz
# umount /mnt/var
# kpartx -d image.img
loop deleted : /dev/loop1

Espero que con estos pequeños y sencillos pasos, os puedan servir para quitar un poco de presión en vuestro tabajo diario en el duro mundo del departamento de sistemas.

Fuente:http://todobytes.es/analizar-una-caida-del-sistema-sin-stress/

No hay comentarios:

Publicar un comentario