yuuzi
commented
6 years ago rsyncバックアップ
サービス起動してなくてroot取られなさそうなサーバにバックアップを集約します 下記手順はログ取得対象の各サーバから実施(あるならログサーバ辺り) ※SSH鍵使用して定期的にバックアップを取得を想定しているので各サーバから実施する必要があります。バックアップ先をSSHサーバにするといずれかのサーバが乗っ取られたら攻撃者にバックアップも消されかねないので。。。 ※専用ユーザを作成したほうがいいと思いますが、どうせ取得対象はroot権限必要なものも多分に含まれていると思いますので、rootでrsyncしちゃいます
ssh鍵が現在無いこと確認
ls ~/.ssh
ssh鍵作成
ssh-keygen -t rsa #鍵の名前だけサーバ固有のものにする、その他はデフォルト&パスフレーズ無しでOK scp ~/.ssh/[公開鍵].pub root@[バックアップ先]:/root/.ssh/
サーバ側の権限とか
cd ~
chmod 700 .ssh
cd .ssh
cat id_rsa.pub >> authorized_keys
chmod 600 authorized_keys
rm -fv id_rsa.pubssh設定確認
grep -ie RSAAuthentication -ie PubkeyAuthentication -ie AuthorizedKeysFile /etc/ssh/sshd_config
※以下の設定のコメントアウトが外れている必要がある
RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys PermitRootLogin without-password →変更時は念のため設定のoldファイル残しておく
バックアップサーバ側作業
ssh確認
ssh -i [pathtopubkey] root@[ServerIP]
backupフォルダ作成
mkdir /backup
rsync手動確認
rsync -auzn -e "ssh -i [pathtopubkey]" root@[serverIP]:[pathtobackupfolder] /backup/[file名]_`date "+%H%M%S`
※dry runで実際に出来そうかテスト
rsync -auz -e "ssh -i [pathtopubkey]" root@[serverIP]:[pathtobackupfolder] /backup/[file名]_`date "+%H%M%S`
crontab追加(とりあえず30分ごと)
crontab -e
*/30 * * * * [うまくイケたrsyncのコマンド]※ここまででうまくいかなかったらこれ系の切り分けは結構時間掛かるので颯爽と諦めて不定期に手動バックアップに切り替えましょう
最近編集されたファイルを探す
find [path] -mmin [minute] #分指定
最近アクセスされたファイルを探す
find [minute] -amin [minute] #分指定
最近データやステータスが修正されたファイルを探す
find [minute] -cmin [minute] #分指定
例:このフォルダの配下で30分以内に編集されたファイルを探す
find ./ -mmin 30