userek chekkolása

Linux-kezdő

Sziasztok!
Azt szeretném megtudni, hogy hogyan ellenőrizhetem, hogy egy adott user vagy ip épp mit csinál. Azért mert mivel már fél 10 van, nem hinném, hogy valaki még mindig bennt melózik de a gépe megy. Meg akarom nézni, hogy miért. Egyszer sikerült úgy szűrnöm a tcpdump-al, hogy a szerver lan ip-je és a user közötti forgalmat csak, de nem elfelejtettem, hogy hohy csináltam.
Más ötleteket is várok. Proxy nincs telepítve. Csak gondoltam szólok :S

  • 1463 megtekintés

( Refresh | 2006. 08. 19., szo – 06:35 )

Hálóforgalom tcpdump segítségével (emlékezetből írom, szóval tévedés joga fenntartva) egy interface esetén:

tcpdump src <ip1> or dst <ip1>

ip1 a t.felhasználó gépének címe

szerk: kipróbáltam, tényleg így megy.
szerk2: persze szokás szerint félálomban... nem or, hanem "and" és esetleg nem árt ugyanezt fordítva is egy "or"-ral hozzákapcsolva :)
Szóval némileg tán jobb amit utánam írt valaki.

--
Fel! Támadunk!

( WoOh | 2006. 08. 19., szo – 00:09 )

Nalunk a cegnel kb 70 gep van es sohasem kapcsoljak ki oket. Raadasul tok sok screenbol futtatott program fut, illetve test-automatizalasok ejszakankent, igencsak sok adatforgalmat generalunk.

Miert baj, ha nem kapcsolta ki? ;)

--
Live Free or Die
UNIX

( eax | 2006. 08. 19., szo – 01:56 )

tcpdump -i iface host juzerip and host szerverip

Udv. eax

( budacsik | 2006. 08. 19., szo – 10:21 )

Köszi srácok ez megy:
tcpdump -t eth1 src 192.168.2.10 or dst 192.168.2.10

Még a sorok értelmezésében kell gyakorlatot szereznem mert nem világos minden.
Eslő oszlop lenne az idő (10:47:01.025963), de a 025963 is?
Második oszlop a protokollt mutatná eddig arp és IP-t láttam.
IP esetében a 3. oszlop ip cím de így néz ki: 192.168.2.135:39630
A 39630 mi lenne? Csak nem a portszám?
Majd domain név van, de ez is furi tapasztalatlan szememnek: bpdcpr01.bpcl.broadband.hu.domain:
Ezután megint számomra rejtélyes szám: 34324+ A?
Majd MRKARRIER.allaskarrier.local. (46)

Tehát így néz ki egy sor pl.:
10:47:01.025963 IP 192.168.2.135:39630 > bpdcpr01.bpcl.broadband.hu.domain: 34324+ A? MRKARRIER.allaskarrier.local. (46)

Tudok róla, hogy lehet nagyon jól szűrni tcpdump-al, de nem találtam jó leírást még hozzá. A man biztos jó, de magyar jobb lenne. Bár ha nincs már marad a man tcpdump.

Igaz, de mellette sok olyat is ami
- a szervernek szól, de mástól jön
- másnak szól, de a 2.10-ről jön

Amennyire emlékszem, a tcpdump is alapértelmezetten promiscuous módba teszi az interface-t, ettől kezdve minden kóbor packetet megmutat. Azokat is amik csak átmennek rajta, de nem neki szólnak.

--
Fel! Támadunk!

Az új neve wireshark, de van jobb. Ha windowsos géppel tud menni, akkor mindenképp érdemes a Packetyzert kipróbálni, bár a konkrét esetbe nyilván nem alternativa. Ám más esetekben iszonyú nagy tudású tool, megkockáztatom, hogy néhol jobb az ethereal/wireshark-nál. Annyi bizti, hogy a fejlesztők a Ethereal kódjából indultak ki, és azt pofozták át. Egy pillantásra mindenképp érdemes méltatni.
Erre felé érdemes kukucskálni: http://www.networkchemistry.com/products/packetyzer.php

( LGee | 2006. 08. 19., szo – 21:44 )

Penteken ilyenkor mar neked se kellene dolgozni ;-)