Linux dump чем открыть

Linux dump резервное копирование и восстановление

Для системного администратора самой трудоёмкой, скрупулёзной и ответственной работой является (что непрерывно подтверждается практикой) не установка и наладка систем, программного обеспечения и т. д., а организация и проведение процедуры резервного копирования системы. Даже небольшие организации располагают своими, пусть и небольшими, но локальными сетями, обслуживаемыми серверами. Это позволяет значительно упростить и ускорить (при грамотном подходе, конечно) рутинную работу по специфике деятельности всей организации. Потеря информации, хранящейся даже в таких сетях и даже для небольших организаций, предприятий (или даже офиса) — в большинстве случаев наносит трудно поправимый ущерб с длительным и дорогостоящим восстановлением. Чего уж говорить о гигантских компаниях или корпорациях. В подавляющем большинстве случаев потеря информации стоит гораздо дороже, чем само оборудование.

Поэтому информацию обязательно следует защищать и самым надёжным способом для этого является резервное копирование данных. В Linux-системах на базовом уровне предусмотрена специализированная утилита dump. Она была разработана специально для осуществления резервного копирования. Наряду с ней для данной задачи можно также использовать команду tar – это будет практически также эффективно, однако dump конечно же, гораздо более удобна.

Использование команды dump

Утилита dump обладает рядом особенностей, благодаря чему многие системные администраторы используют именно её для резервного копирования данных:

• возможность резервного копирования в инкрементном режиме, т. е. будет резервироваться только то, что было изменено с момента последнего копирования;
• резервирование и восстановление любых типов файлов;
• сохранение информации о владельцах файлов, режимах доступа, дат и времени их модификации;
• резервное копирование можно выполнять сразу на несколько лент (да, да, в резервном копировании часто используются магнитные ленты в качестве носителей).

Команда dump в автоматическом режиме определит, какие файлы изменились со времени прошлого резервного копирования, формирует соответствующий список и именно эти файлы направит для копирования на внешний носитель. Надо заметить, что dump способна «понимать» исходную файловую систему на довольно низком уровне — для определения файлов для резервирования используется чтение таблицы индексных дескрипторов. Вместе с тем у утилиты dump имеются и незначительные ограничения:

• файловые системы должны резервироваться индивидуально;
• резервное копирование можно проводить только для локальных файловых систем.

Кстати, утилита dump также уверенно работает с именами файлов произвольной длины, т. е. ей абсолютно не важна глубина иерархии каталогов файловой системы.

Создание резервных копий

Команда dump сканирует файл /etc/dumpdates на предмет того, как давно создавался последний архив. С помощью ключа -u можно заставить dump самостоятельно после завершения резервного копирования обновлять вышеуказанный файл, занося в него информацию о дате, имени файловой системы и уровне архива. Без использования ключа -u (если он вообще ни разу не использовался) все архивы будут иметь нулевой уровень.

Для выбора внешнего устройства для хранения резервной копии существует ключ -f, иначе будет использоваться устройство по-умолчанию, как правило, это ленточный носитель.

Итак, для создания резервной копии утилитой dump нужно дать следующую команду:

$ sudo dump -0u -f /dev/sdd1 /home

Или для варианта с ленточным носителем:

$ sudo dump -0u -f stationone:/dev/nst0 /home

Здесь с ключом -u задаётся нулевой уровень архива (0), а ключом -f – устройство /dev/sdd1 для сохранения резервной копии файловой системы /home. Удалённый носитель (во втором примере ленточный носитель nst0) задаётся в формате имя_компьютера:устройство.

Восстановление файлов из резервных архивов

Чтобы восстановить отдельные файлы из резервных копий, следует воспользоваться командой restore. Эта команда обладает большим набором опций для выполнения. Среди которых одной из самых важных является -i – этот ключ позволяет работать с восстановлением в интерактивном режиме. Также имеются опции -r – для восстановления файловой системы целиком. И -x – для автоматического восстановления заранее указанных файлов.

В интерактивном режиме (ключ -i) команда restore сначала читает состав содержимого архива, после чего даёт возможность пользователю перемещаться по этому содержимому как по дереву каталогов в файловой системе, используя команды cd, ls и pwd. Чтобы восстановить требуемые файлы, нужно сначала добавить их в список восстановления командой add. Для восстановления выбранных (добавленных в список восстановления) файлов нужно выполнить команду extract. Также можно удалять файлы из списка восстановления — командой delete. Пример:

$ sudo mkdir /var/restore
$ cd /var/restore
$ sudo ssh stationone mt -f /dev/nst0 fsf 2
$ sudo restore -i -f stationone:/dev/nst0
restore> ls
john/ michael/ lost+found/ bob/
restore> cd bob
restore> ls
resume fileone filetwo filesome
restore> add resume
restore> ls
resume* fileone filetwo filesome
restore> extract
You have not read any volumes yet.
Unless you know which volume your files are on you should
start with the last volume and work towards the first.
Specify next volume #: 1
set owner/mode for '.'? [yn] n

В приведённом примере показан наиболее общий и «суровый» случай, когда нужно восстановить архив с удалённого ленточного носителя по SSH. Здесь также используется перемотка ленты командой mt для перехода к нужному архиву — это тот случай, когда на одной ленте их несколько. В качестве параметров команде mt передаются: удаленное устройство и параметры перемотки — fsf 3, т. е. лента должна быть перемотана вперёд на 3 файла. Если архив умещается на одной ленте, то на запрос «Specify next volume #:» нужно ввести 1. Также нужно определить, должен ли текущий каталог соответствовать корневому каталогу текущей ленты и если восстанавливается не вся файловая система целиком, то можно ответить «n» — нет. Восстановление производится в текущий каталог /var/restore.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Похожие записи:

Источник

Помогите открыть файлы созданные в tcp dump

У меня есть файлы созданные программой tcp dump. Тока они в расширением .eml Как мне можно просмотреть содержимое. С помощью каких прог можно это сделать. срочно надо плиз хелп. Буду очень благодарен за помощь.

Помогите открыть файлы созданные в tcp dump

Помогите открыть файлы созданные в tcp dump

не открывает. выдает ошибку, типа неизвестный формат.

Помогите открыть файлы созданные в tcp dump

Открой терминал, перейди в каталог, содержащий эти файлы, введи команду file имя_файла.eml и скажи, что оно пишет в ответ.

Помогите открыть файлы созданные в tcp dump

ребят не не сильно силен. что за терминал и как туда зайти.

Re: Помогите открыть файлы созданные в tcp dump

> ребят не не сильно силен. что за терминал и как туда зайти.

Re: Помогите открыть файлы созданные в tcp dump

Konsole или gnome-terminal, в зависимости от Вашего DE.
Потом вводите туда:
cd /путь/к/каталогу/где/всё/это/лежит
file имя_файла.eml

и показываете нам вывод
Если пишет «file not found», знаичт делаете что-то не так.

Прочтите slackbook и gentoo handbook (есть на русском языке)

Источник

Некоторые приёмы форензики под Linux

Друзья, сегодня разберём некоторые инструменты для сбора артефактов со скомпрометированных Linux-систем и создадим дампы (образы) жёсткого диска, оперативной памяти, сетевого стека. В ход пойдут только самые известные, проверенные и простые для использования утилиты.

Общий чек-лист проверки

Собственно говоря, для поиска и сбора криминалистических доказательств мы для начала создадим образы (дампы) следующих объектов наших систем: — оперативная память (системные и пользовательские процессы, демоны, возможно, запущенный вредоносный код и т. д.); — жёсткий диск (посекторная копия HDD, включающая уделённые партиции, неразмеченные области диска, потёртые файлы, скрытые файлы и директории и т. д.); — сетевой стек (поднятые коннекты, открытые порты, «неизвестные» сервисы на портах, паразитный трафик).

В рамках самой операционной системы мы будем обращать особое внимание в первую очередь на: — список пользователей, группы, привилегии; — запущенные от имени root процессы; — задачи, запускаемые по расписанию (cron jobs); — файлы с установленным битом SUID и SGID; — состав файла /etc/sudoers; — скрытые файлы и директории; — файлы, открытые на чтение в системе; — сетевые интерфейсы, соединения, порты, таблицу маршрутизации; — логи iptables, fail2ban (Reports, Alarms, Alerts); — конфигурацию /etc/ssh/sshd_config; — логи демона Syslog на типичные алерты; — состояние SELinux; — список загруженных модулей ядра.

Снимаем образ HDD-диска

Посекторную копию жёсткого диска можно вполне снять, не прибегая к дополнительным утилитам. Мы будем использовать старую и проверенную в работе нативную тулзу dd. Она позволяет созвать точные копии «bit-by-bit» целых дисков, отдельных партиций и даже просто файлов.

Но первоначально запросим у системы полный список партиций с помощью команды fdisk:

Базовый синтаксис вызова dd выглядит так:

К примеру, для создания копии HDD с размером кластера 512 байт:

 
dd if=/dev/sda1 of=/dev/sdb1 bs=512 
 
В процессе копирования HDD могут быть повреждённые сектора. Чтобы программа не запнулась об них, остановив свою работу, необходимо добавить дополнительный ключ noerror:
 
 
dd if=/dev/sda1 of=/dev/sdb1 bs=512 noerror
 
Однако мировые best practices рекомендуют нам использовать усовершенствованный вариант предыдущей утилиты под названием dcfldd. Эта тулза разработана в компьютерной судебной лаборатории DCFL (Defense Computer Forensics Laboratory) и имеет ряд опций, специально заточенных для снятия образа в целях криминалистического анализа. Так, под капотом у dcfldd имеется встроенная возможность хеширования (hashing) копируемых данных и функция проверки целостности данных (аутентификации). Помимо этого, отображается прогресс создания дампа, действия заносятся в лог-файл, а контрольные суммы (MD5) сохраняются в отдельный файл.
 
Пример выполнения команды:
 
 
dcfldd if=/dev/sda1 hash=md5 of=/media/forensic_disk_image.dd bs=512 noerror
 
Делаем дамп оперативной памяти (RAM)
 
Следующим шагом после снятия дампа HDD мы приступаем к формированию образа оперативной памяти. И, как в случае с жёстким диском, существует несколько способов решить эту задачу. Среди вариантов можно выбрать использование нативного модуля ядра с названием Linux Memory Extractor (LiME), скрипт Linux Memory Grabber, который не требует установки и который можно запускать, к примеру, с USB-носителя, и связку утилит lmap и pmem, являющихся частью пакета Rekall, которые я буду дальше использовать.
 
Пара слов о Rekall. Это отдельная ветка развития известного фреймворка Volatility Framework, написанная на Python и заточенная под особенности сбора данных из под LiveCD форензик-дистрибутивов.
 
Итак, чтобы подготовить тулзу к работе, переходим в каталог ../rekall/tools/linux/:
 
Грузим драйвер ядра pmem.ko в оперативную память:
 
Проверяем инициализацию драйвера следующей командой:
 
После этого драйвер создаёт файл-контейнер под наш будущий образ RAM:
 
Теперь с помощью всё той же утилиты dd создаём сам образ оперативной памяти системы:
 
 
dd if=/dev/pmem of=forensic_RAM_image.raw
 
Ну и после завершения работы выгружаем драйвер:
 
Но это ещё не всё, во второй части статьи поговорим про сетевой трафик, смонтируем образы в исследовательскую систему и выполним анализ образа жёсткого диска. Следите за новостями!
 
Источник
 
Emergency UNIX and Linux Support
 
 
135, 0 
 
I have got core dump stating "core.bash.29846" so i am unable to open.
 
How to open the core dump file for further analysis?
 
 
1,000, 237 
 
 
55, 5 
 
 
73, 13 
 
 
3,149, 702 
 
if you are using solaris, then refer the below commands
 
 
1,155, 93 
 
 
1, 1 
 
If you have a core file and you have compiled the program with debuging options (-g), you can see where the core was dumped: 
$ gcc -g -o something something.c $ ./something Segmentation fault (core dumped) $ gdb something core You can use this to do some post-mortem debuging. A few gdb commands: br prints the stack, fr jumps to given stack frame (see the output of br). 
Now if you want to see which files are opened at a segmentation fault, just handle the SIGSEGV signal, and in the handler, just dump the contents of the /proc/PID/fd directory (i.e. with system('ls -l /proc/PID/fs') or execv). 
With these informations at hand you can easily find what caused the crash, which files are opened and if the crash and the file descriptor leak are connected.
 
Источник