记一次crontab定时任务被清空的故障原因定位及复盘过程
一、问题描述及事件经过
大年二十九,接到运维值班同事反馈的一个问题:
某生产服务器上的1月17号下午1点左右业务部门运维人员通过堡垒机登录时查看crontab -l定时任务是在的
但是1/18号早上业务部门另外一名运维人员,通过堡垒机登录时查看crontab -l却发现全空了
(图片点击放大查看)
当时已经通过1月17号的堡垒机上的运维日志恢复了crontab定时任务,业务已经修复
但要回溯一下crontab -l被清空的根因, 业务部门一度怀疑17-18号这期间是不是有人绕过堡垒机登录过这台服务器,做过啥运维操作导致crontab定时任务被清空
二、问题原因分析过程
当运维值班同事的这个问题反馈过来后,开始着手分析
1、先排查SSH ACL访问控制,白名单配置文件中没有堡垒机以外的IP地址
为了证明不存在堡垒机绕过的情况,我这里直接GrayLog日志服务器查询了一下这台服务器这个时间区间的SSH登录日志 除了堡垒机IP没有其他IP有登录过服务器的SSH
(图片点击放大查看)
再说了,即使有绕过堡垒机登录的情况,GrayLog也会发送相应的堡垒机绕过告警到运维群里
所以不要怀疑自己这个SSH防堡垒机绕过的安全加固机制,要对自己有信心
2、这时查看堡垒机的1/18号最早的运维日志记录
(图片点击放大查看)
只发现crontab -l 多了一个空格,也只发现这样一个异常
我尝试在Linux虚拟机上做了测试,crontab - l 多了一个空格,这时会话会卡住
这时Ctrl+C直接退出,然后再crontab -l 查看crontab定时任务还是在的
(图片点击放大查看)
3、所以很诡异,问题陷入僵局
根据上面的测试论证,看来多一个空格也不至于说会把crontab定时任务清空哈 所以问题卡住
4、借助搜索引擎
https://blog.csdn.net/Dr_Guo/article/details/123085782 https://www.modb.pro/db/188537
这时不要禁锢在思维定势里,借助搜索引擎尝试找找有没有其他可能性
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
好家伙,感觉和我现在的问题场景一模一样!
5、在Linux虚拟机下测试论证一下
crontab - l这时卡住了,然后直接关闭SecureCRT,中断SSH会话
然后再登录SSH会话,再查看crontab -l发现果然被清空了
并且/var/log/cron日志也有这个REPLACE关键字
crontab[13022]: (root) REPLACE (root)
(图片点击放大查看)
(图片点击放大查看)
6、然后GrayLog上查询cron日志发现1/18的日志中也有REPLACE关键字
(图片点击放大查看)
那就是这个原因无疑了
三、问题原因总结及后续改进措施
- 1、问题原因:业务部门运维人员使用了错误的crontab - l 命令(多了一个空格)导致卡住,然后他看这时卡住了,接着直接关闭了这个堡垒机SSH会话,进而导致Crontab所有计划任务被清空
- 2、问题评价:墨菲定律:你认为越没有可能发生的事情,越有可能发生
有点算一个小黑天鹅事件:虽然某个黑天鹅事件在某个时间点出现是非常小概率的事件,但是生活工作中“黑天鹅”事件是一定会出现的,只是不知道是哪一个或者在哪个时间点
- 3、如何加固,避免这种现象再次发生
chattr +i /var/spool/cron/root (加锁:禁止修改定时任务) chattr -i /var/spool/cron/root (解锁:先解锁,才能修改定时任务,避免误操作)
- 4、当然也可以做告警,当堡垒机操作日志中出现chattr -i /var/spool/cron/root解锁命令时进行告警提醒
