Журналы входов/выходов SUDO и TSID
Если вам повезет, повреждение файловой системы будет обнаружено, как только вы попытаетесь смонтировать копию. Если вам не повезет, это не будет обнаружено позже.
Также возможно, что вам удастся получить согласованную копию файловой системы, за исключением файлов, которые были изменены во время копирования. Но я бы не стал на это рассчитывать. Он может работать с ext4 до тех пор, пока вы не создаете, не удаляете и не перемещаете какие-либо файлы, так что каталоги не изменяются.
Если вы скопируете файловую систему, которая смонтирована только для чтения, конечно, все будет в порядке. За исключением того, что вы не должны использовать dd , используйте вместо него cat .
Есть несколько надежных способов клонировать диск. Выберите один из них, а не тот, который практически гарантирует коррупцию.
- Некоторые файловые системы предлагают функцию клонирования, например btrfs . Не думаю, что у ext4 есть.
- Если файловая система использует собственную схему разделов Linux, то есть том LVM , вы можете сделать снимок LVM. Это требует, чтобы вы использовали LVM, а не помещали файловую систему непосредственно в какую-либо другую схему разделов, такую как MBR или GPT. У вас останется файловая система, которая не была полностью размонтирована, но представляет собой согласованный моментальный снимок оригинала на определенный момент времени.
- Если вы можете поместить файловую систему в массив RAID-1, вы можете клонировать ее, добавив член в массив, дождавшись его синхронизации и отсоединив новый член. Здесь также у вас будет последовательный, но не чистый снимок. Вы можете создать том RAID-1 вокруг существующей файловой системы , но для этого потребуется автономный шаг для сжатия файловой системы на 128 КБ.
- Вы можете сделать резервную копию на уровне файлов. Это не даст вам единообразного представления о файловой системе, поскольку копирование файлов требует времени, но гарантирует, по крайней мере, то, что каждый файл, который не был изменен во время резервного копирования, будет скопирован правильно.
Фон
TSID описан на справочной странице sudoreplayследующим образом:
The ID should either be a six character sequence of digits and upper case letters, e.g. 0100A5, or a pattern matching the iolog_file option in the sudoers file. When a command is run via sudo with log_output enabled in the sudoers file, a TSID=ID string is logged via syslog or to the sudo log file. The ID may also be determined using sudoreplay's list mode.
Вы можете использовать sudoreplay -lдля списка доступных сессий, чтобы воспроизвести одну из них, вы должны запустить команду, подобную этой:sudoreplay <tsid>.
Пример вывода
Я нашел образец вывода в разделе вопросов и ответов AU под названием:Как заставить работать sudoreplay:
$ sudo sudoreplay -l
Nov 28 11:48:35 2014 : chrthomp : TTY=/dev/pts/1 ; CWD=/home/chrthomp/DJS/2014/Nov ; USER=root ; TSID=000001 ; COMMAND=/bin/su -
$ sudo sudoreplay 000001
Дальнейшие исследования
Если вы просмотрите справочную страницуsudoers, там объясняется, что такое TSID=:
Input is logged to the directory specified by the iolog_dir option (/var/log/sudo-io by default) using a unique session ID that is included in the normal sudo log line, prefixed with “TSID=”. The iolog_file option may be used to control the format of the session ID.
ПРИМЕЧАНИЕ.:Аналогичный абзац упоминается в определениях log_inputи log_output.
Если вы продолжите чтение справочной страницы sudoers, вы обнаружите, что TSID=также называетсяlogid:
date hostname progname: username : TTY=ttyname ; PWD=cwd ; \
USER=runasuser ; GROUP=runasgroup ; TSID=logid ; \
ENV=env_vars COMMAND=command
Что приводит к этому:
logid - An I/O log identifier that can be used to replay the command's output. This is only present when the log_input or log_output option is enabled.
Первоначальные мысли...
Большинство примеров, которые я нашел, показывают TSID=либо как последовательность чисел (000001 ), либо как последовательность цифр и букв (000AE1 ). Любопытно, что я всегда видел его с определенными буквами, в основном A -F, что заставило бы меня поверить, что это либо просто возрастающее целое, либо шестнадцатеричное число.
В любом случае это не выглядит как «умная система нумерации».
Посмотрите исходный код
В grepпри просмотре репозитория кода sudo есть файл NEWS , в котором указано следующее:
- The sudoers policy now stores the TSID field in the logs even when the "iolog_file" sudoers option is defined to a value other than %{sessid}. Previously, the TSID field was only included in the log file when the "iolog_file" option was set to its default value.
Если вам интересно, источник TSID=находится в файле logging.c .
Ссылки
TSID = идентификатор TypeScript
Для связи с командой «сценарий» :http://man7.org/linux/man-pages/man1/script.1.html