linux系统服务器取证
0x01 基础命令了解
历史命令查看
history
0x02 日志文件查看
服务器的日志一般存放于/var/log;
最后登录时间
lastlog
所有用户的登录、注销信息
wtmp记录所有用户的登录、注销信息;
last
0x03 服务器RAID
简介
服务器RAID指的是磁盘阵列,英文全称为“Redundant Arrays of Independent Disks”,是由许多小容量且独立的硬盘而组成的阵列,其目的就是将数据切割成许多区段,分别存放在各个硬盘上,并利用个别磁盘提供数据所产生的成效果提升整个硬盘系统效能。
由于是对多个并行操作,所以RAID硬盘子系统与单一硬盘相比,输入输出性更高,因为服务器会把RAID阵列看成一整个单一的存储单元,并对几个同时访问。
不同的硬盘组合可以带来不同的RAID等级,这是服务器配置过程中的一个重点。常见的服务器RAID包括RAID 0、RAID 1、RAID 5还有RAID 10。
RAID 0是最简单的组建硬盘形式,由一个或多个物理驱动器组成,最少需要两个相同的硬盘,得到一个加总的可用容量(240G+240G=480G);
RAID 1是镜像冗余,同样需要阵列中有两个相同的物理驱动器。但是要注意的是,其原理是数据在写入一块硬盘的同时,会在另一块生成镜像,最终目的是在不影响性能的情况下最大限度保证数据的存储可靠性和可修复性(240G+240G=240G)。
RAID 5至少需要三个硬盘来完成,可将容量叠加,也可以增加读取速度,同时还有容错作用。而且相较RAID 1来说,也不会出现浪费(240G+240G+240G=480G)。
RAID 10则由更多的物理驱动器组成,最少为4个(2TB+2TB+2TB+2TB=2TB+2TB)。可以理解成,它是先分割数据再镜像。
raid 管理工具
mdadm 是 multiple devices admin 的简称,是 Linux 下的一款标准的软件RAID 管理工具。在 Linux 系统中,目前以虚拟块设备(Multiple Devices,MD)方式实现软件 RAID:利用多个底层的块设备虚拟出一个新的虚拟设备,并且利用条带化(stripping)技术将数据块均匀分布到多个磁盘上来提高虚拟设备的读写性能,利用不同的数据冗余算法来保护用户数据不会因为某个块设备的故障而完全丢失,而且能在设备被替换后将丢失的数据恢复到新的设备上。
mdadm语法:mdadm [模式] [参数]
创建阵列模式;● -a {yes|no}:自动创建对应的设备,yes表示会自动在/dev下创建RAID设备;● -l #:指明要创建的RAID的级别(-l 5 表示创建RAID5);● -n #:使用#个块设备来创建此RAID(-n 3 表示用3块硬盘来创建这个RAID);● -x #:当前阵列中热备盘只有#块(-x 1 表示热备盘只有1块)-D --detail 查看raid设备的详细信息模式● -f 使一块raid磁盘故障;● -a 增加一块raid磁盘;● -r 移除一块故障的raid磁盘;● -s --scan:扫描配置文件或 /proc/mdstat以搜寻丢失的信息;● -S 停止raid磁盘阵列。Raid level 阵列类型Active Devices 活跃的硬盘数目Workinf Devices 所有的硬盘数目Failed Devices 出现故障的硬盘数目Spare Devices 热备份的硬盘数目0x04 数据库分析
基础命令
mysql -uroot -p 密码 进入数据库show databases; 查看数据库use xxx; 进入某数据库show tables; 查看某库内的表select * from user; 查看表内数据
0x05 未完待续~
关注公众号「安全猎人」
欢迎
点赞 + 在看、分享本公众号 给更多师傅们哈原文始发于微信公众号(安全猎人):pc取证-番外篇(5)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论