Debian Sniffer如何备份设置

Debian Sniffer 备份设置

一 备份范围与准备

• 明确要备份的内容：
  • 配置文件：常见路径为**/etc/netsniff/netsniff.conf**（若使用 netsniff-ng 套件，实际路径可能位于**/etc/netsniff-ng/** 或 /usr/local/etc/netsniff-ng/，可用 find /etc /usr -name "*netsniff*.conf" 2>/dev/null 确认）。
  • 程序文件与版本：可执行文件通常在**/usr/local/bin/**（如 /usr/local/bin/sniff），可用 which sniff 或 dpkg -S $(which sniff) 确认来源与版本。
  • 运行态数据：如BPF 过滤规则、环形缓冲等运行时状态一般不需要备份，恢复时按配置重建即可。
• 合规与风险控制：抓包涉及网络数据与隐私，务必在获得授权的网络环境中操作，避免触犯法律与合规要求。

二 手动备份与恢复步骤

• 备份（建议一次性打包并校验）
  1. 备份配置与关键脚本

     sudo tar czf sniffer-conf-$(date +%F).tar.gz -C /etc .netsniff* /usr/local/etc/netsniff* /etc/default/sniff* 2>/dev/null
     sha256sum sniffer-conf-$(date +%F).tar.gz > sniffer-conf-$(date +%F).sha256
     

  2. 备份可执行程序与版本信息

     which sniff | xargs dirname | xargs tar czf sniffer-bin-$(date +%F).tar.gz -C / .
     sniff --version > sniffer-version-$(date +%F).txt 2>/dev/null || strings $(which sniff) | grep -i version | head -n1 >> sniffer-version-$(date +%F).txt
     

• 恢复
  1. 校验并解压配置

     sha256sum -c sniffer-conf-$(date +%F).sha256
     sudo tar xzf sniffer-conf-$(date +%F).tar.gz -C /
     

  2. 恢复程序文件（仅在程序缺失或升级失败时执行）

     sudo tar xzf sniffer-bin-$(date +%F).tar.gz -C /
     

  3. 重启服务或验证

     sudo systemctl restart sniffer.service    # 若已配置为 systemd 服务
     sudo sniff --version || sudo /usr/local/bin/sniff --version
     

• 说明：若你的安装路径或二进制名不同，请将上述路径替换为实际值（可用 which sniff、find ... 确认）。

三 自动化备份方案

• 使用 rsync 做增量备份（本地或远程）

  # 本地备份
  rsync -a --delete /etc/netsniff* /usr/local/etc/netsniff* /opt/backup/sniffer/conf/
  
  # 远程备份（SSH）
  rsync -avz --delete -e ssh /etc/netsniff* /usr/local/etc/netsniff* user@backup-host:/opt/backup/sniffer/conf/
  

• 使用 duplicity 做加密增量备份（适合长期保留与异地存储）

  duplicity --full-if-older-than 7D /etc/netsniff* /usr/local/etc/netsniff* s3://your-bucket/sniffer-conf
  

• 建议将备份纳入 cron（示例每日 02:00 增量）：

  0 2 * * * root rsync -a --delete /etc/netsniff* /usr/local/etc/netsniff* /opt/backup/sniffer/conf/ && date >> /var/log/sniffer-backup.log
  

• 如需整盘级回滚能力，可考虑 Btrfs + Snapper 对系统分区做快照（适合系统级配置与回滚，非专用于单个应用配置）：

  sudo apt install snapper
  sudo snapper -c root create-config /
  sudo snapper create --description "before-sniffer-change"
  

  以上 rsync/duplicity 与 Btrfs+Snapper 的做法均为 Debian 上通用、可落地的备份手段。

四 验证与回滚

• 配置正确性验证

  sudo sniff --check-config    # 若工具提供
  sudo sniff -i lo -c 5 -w /tmp/test.pcap  # 短时抓包自检
  

• 快速回滚
  • 配置回滚：直接用备份包覆盖

    sudo tar xzf sniffer-conf-2025-09-01.tar.gz -C /
    sudo systemctl restart sniffer.service
    

  • 版本回滚：用备份的二进制替换当前可执行文件后重启

    sudo systemctl stop sniffer.service
    sudo tar xzf sniffer-bin-2025-09-01.tar.gz -C /
    sudo systemctl start sniffer.service
    

  • 系统级快照回滚（Btrfs/Snapper）：

    sudo snapper list
    sudo snapper rollback <快照号>
    sudo reboot
    

• 建议定期做恢复演练，确保备份可用、流程熟悉。