Sziasztok
Adott egy sok Unixos gépből álló rendszer, együttműködő szerverekkel. Fájlok automatikus másolása jobbra-balra, ótómatizált bejelentkezés, futtatgatás, satöbbik. Az alkalmazás tök speciális és nem mai. Volt benne jónéhány helyen bedrótozva rlogin, rsh, rcp hívás, amiket most kiirtottunk, de közel se biztos, hogy az összeset.
Az init -ből ki lettek szedve ezek a protokollok, tehát most egy telnet vagy rlogin az adott gépre indítva timeout-ra fog futni, a szerver meg nem vesz észre belőle semmit, és ez baj. Ezeket a sikertelen bejövő próbálkozásokat szeretnénk logolni valahogy a szerveren. (A hálózaton a megfelelő portok figyelése adja magát, csak nehezen kivitelezhető.) Valaki találkozott már ilyesmivel? Hogyan lehetne ezt megoldani?
Köszönöm, üdv: tsb
Hozzászólások
Szia,
netcat-tal kiülsz a portra s várod a kapcsolatokat. Az nc kidumplja neked még az adatot is ha sima szöveges még olvashatod is mit akar küldeni..
Közben netsat-tal figyeled honnan jött a kérés.
Szerintem minden nagyobb csomagszűrő rendelkezik naplózó céllal.
Linux alatt iptables:
http://www.linuxtopia.org/Linux_Firewall_iptables/x4238.html
BSD alatt pf vagy ipfw:
http://www.openbsd.org/faq/pf/logging.html
http://onlamp.com/bsd/2001/06/21/FreeBSD_Basics.html
Nem kene timeout-ra futni a klienseknek, hacsak valaki nem blokkolja az ICMP port unreachable uzeneteket. Logolni a bejovo kapcsolatokat ahogy mar emlitettek pl. iptables szaballyal lehet.
Köszönöm a válaszokat, próbálok összehozni valamit.
a) opció: a klienseken az rsh/rlogin/rcp programokat lecserélni az ssh/slogin/scp programokra (symlinkekre)
b) opció: a klienseken az rsh/rlogin/rcp programokat lecserélni az ssh/slogin/scp programokat megfelelő paraméterezéssel indító shell scriptekre
c) opció: a klienseken az rsh/rlogin/rcp programok helyére a próbálkozásokat logoló shell scriptet rakni
d) opció: a szerverre xinetd-t rakni, ami a kívánt portokon nem ad szolgáltatást, ellenben logolja a próbálkozásokat
Sziasztok
Úgy tűnik, a tcpwrapper lesz a legoptimálisabb megoldás. inetd szerencsére van, annyi a dolgom hogy a démonok direkt hívása helyett minden sorba a tcpd -t adom meg, és annak paraméterként a démont. Vagy a jó öreg /sbin/nologin -t. A tcpd minden bejövő hívásról küld egy sort a syslognak, és nekem pont ez kellett.
A hozzáférést meg a /etc/hosts.allow / .deny fájlokkal lehet szabályozni, de leginkább man tcpd a barátom.
Köszi, üdv: tsb