Sziasztok
Adott egy sok Unixos gépből álló rendszer, együttműködő szerverekkel. Fájlok automatikus másolása jobbra-balra, ótómatizált bejelentkezés, futtatgatás, satöbbik. Az alkalmazás tök speciális és nem mai. Volt benne jónéhány helyen bedrótozva rlogin, rsh, rcp hívás, amiket most kiirtottunk, de közel se biztos, hogy az összeset.
Az init -ből ki lettek szedve ezek a protokollok, tehát most egy telnet vagy rlogin az adott gépre indítva timeout-ra fog futni, a szerver meg nem vesz észre belőle semmit, és ez baj. Ezeket a sikertelen bejövő próbálkozásokat szeretnénk logolni valahogy a szerveren. (A hálózaton a megfelelő portok figyelése adja magát, csak nehezen kivitelezhető.) Valaki találkozott már ilyesmivel? Hogyan lehetne ezt megoldani?
Köszönöm, üdv: tsb
- 5340 megtekintés
Hozzászólások
Szia,
netcat-tal kiülsz a portra s várod a kapcsolatokat. Az nc kidumplja neked még az adatot is ha sima szöveges még olvashatod is mit akar küldeni..
Közben netsat-tal figyeled honnan jött a kérés.
- A hozzászóláshoz be kell jelentkezni
Szerintem minden nagyobb csomagszűrő rendelkezik naplózó céllal.
Linux alatt iptables:
http://www.linuxtopia.org/Linux_Firewall_iptables/x4238.html
BSD alatt pf vagy ipfw:
http://www.openbsd.org/faq/pf/logging.html
http://onlamp.com/bsd/2001/06/21/FreeBSD_Basics.html
- A hozzászóláshoz be kell jelentkezni
Nem kene timeout-ra futni a klienseknek, hacsak valaki nem blokkolja az ICMP port unreachable uzeneteket. Logolni a bejovo kapcsolatokat ahogy mar emlitettek pl. iptables szaballyal lehet.
- A hozzászóláshoz be kell jelentkezni
Köszönöm a válaszokat, próbálok összehozni valamit.
- A hozzászóláshoz be kell jelentkezni
a) opció: a klienseken az rsh/rlogin/rcp programokat lecserélni az ssh/slogin/scp programokra (symlinkekre)
b) opció: a klienseken az rsh/rlogin/rcp programokat lecserélni az ssh/slogin/scp programokat megfelelő paraméterezéssel indító shell scriptekre
c) opció: a klienseken az rsh/rlogin/rcp programok helyére a próbálkozásokat logoló shell scriptet rakni
d) opció: a szerverre xinetd-t rakni, ami a kívánt portokon nem ad szolgáltatást, ellenben logolja a próbálkozásokat
- A hozzászóláshoz be kell jelentkezni
Sziasztok
Úgy tűnik, a tcpwrapper lesz a legoptimálisabb megoldás. inetd szerencsére van, annyi a dolgom hogy a démonok direkt hívása helyett minden sorba a tcpd -t adom meg, és annak paraméterként a démont. Vagy a jó öreg /sbin/nologin -t. A tcpd minden bejövő hívásról küld egy sort a syslognak, és nekem pont ez kellett.
A hozzáférést meg a /etc/hosts.allow / .deny fájlokkal lehet szabályozni, de leginkább man tcpd a barátom.
Köszi, üdv: tsb
- A hozzászóláshoz be kell jelentkezni