Open yuuzi opened 6 years ago
サービス起動してなくてroot取られなさそうなサーバにバックアップを集約します 下記手順はログ取得対象の各サーバから実施(あるならログサーバ辺り) ※SSH鍵使用して定期的にバックアップを取得を想定しているので各サーバから実施する必要があります。バックアップ先をSSHサーバにするといずれかのサーバが乗っ取られたら攻撃者にバックアップも消されかねないので。。。 ※専用ユーザを作成したほうがいいと思いますが、どうせ取得対象はroot権限必要なものも多分に含まれていると思いますので、rootでrsyncしちゃいます
ls ~/.ssh
ssh-keygen -t rsa #鍵の名前だけサーバ固有のものにする、その他はデフォルト&パスフレーズ無しでOK scp ~/.ssh/[公開鍵].pub root@[バックアップ先]:/root/.ssh/
cd ~
chmod 700 .ssh
cd .ssh
cat id_rsa.pub >> authorized_keys
chmod 600 authorized_keys
rm -fv id_rsa.pub
grep -ie RSAAuthentication -ie PubkeyAuthentication -ie AuthorizedKeysFile /etc/ssh/sshd_config
※以下の設定のコメントアウトが外れている必要がある
RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys PermitRootLogin without-password →変更時は念のため設定のoldファイル残しておく
ssh -i [pathtopubkey] root@[ServerIP]
mkdir /backup
rsync -auzn -e "ssh -i [pathtopubkey]" root@[serverIP]:[pathtobackupfolder] /backup/[file名]_`date "+%H%M%S`
※dry runで実際に出来そうかテスト
rsync -auz -e "ssh -i [pathtopubkey]" root@[serverIP]:[pathtobackupfolder] /backup/[file名]_`date "+%H%M%S`
crontab -e
*/30 * * * * [うまくイケたrsyncのコマンド]
※ここまででうまくいかなかったらこれ系の切り分けは結構時間掛かるので颯爽と諦めて不定期に手動バックアップに切り替えましょう
最近編集されたファイルを探す
find [path] -mmin [minute] #分指定
最近アクセスされたファイルを探す
find [minute] -amin [minute] #分指定
最近データやステータスが修正されたファイルを探す
find [minute] -cmin [minute] #分指定
例:このフォルダの配下で30分以内に編集されたファイルを探す
find ./ -mmin 30