Dobře, řekněme, že jsem zodpovědný za starou aplikaci, o které opravdu nevím, Snažím se zabezpečit svoji server a někdo navrhl zakázat port 21, který se používal pro FTP.
Ale nejsem si jistý, které programy jsou spuštěny, a používám FTP každý den.
Řekněme, že nemám řešení pro instalaci nástrojů, které chci, na server nebo do sítě. Jaká jsou moje řešení?
- Mám snížit 21 port a zjistit, jaké převody jsou blokován firewallem?
- Je na serveru AIX nějaké místo, kam bych měl jít a podívat se na seznam přístupných a přistupujících serverů přes tento port? Pokud mám IP serverů a názvy souborů, budu schopen program sledovat. Existuje tedy soubor protokolu pro FTP?
Upravit:
a) inetd
je aktivní a ftp
je v něm (děkuji @JeffSchal ler)
b) Snažím se znát příchozí a odchozí provoz na tomto portu – s provedenými příkazy (pokud je to možné). Jinými slovy, mým cílem je vědět
- Jaké příkazy byly provedeny na místním serveru FTP
- Jaké příkazy byly provedeny místním klientem FTP na jiné servery
Jakýkoli návrh je vítán.
Komentáře
- Pokud ne ' nevíte, jaké systémy používají, které služby na vašem serveru máte opravdu velký problém.
- Který program serveru FTP používáte?
- Je spuštěn z inetd nebo samostatně ?
- Dovolte mi přeformulovat pravdu, kterou @roaima napsala výše: pokud jste správcem AIX a nevíte, kdo / co používá váš server, jste ' ve velkých, velkých potížích.
- Dobře, lidi, řekněme ', že administrátor je na dovolené a já chci připravit něco, co s ním bude mít relevantní diskusi až se vrátí.
Odpověď
Jaké příkazy byly provedeny na lokálním serveru FTP ver?
Chcete-li povolit protokolování FTP v systému AIX, musíte překonfigurovat FTP (ve vašem případě je voláno inetd), abyste mohli odesílat protokoly ladění na syslog a nakonfigurovat syslog tak, aby ukládal tyto protokoly do souboru.
-
Upravte
/etc/inetd.conf
a přidejte-d
na konec řádku ftpd:ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d
-
Obnovit inetd:
refresh -s inetd
-
Upravit
/etc/syslog.conf
a přidat řádek prodaemon.debug
, aby se protokoly někam uložily :daemon.debug /var/log/ftp.log
-
Vytvořte soubor, do kterého bude syslog zapisovat:
touch /var/log/ftp.log
-
Obnovit syslogd:
refresh -s syslogd
Syslog pošle všechny protokoly démona do tohoto souboru, takže jej budete chtít filtrovat pomocí grep
, možná: grep "daemon:debug ftpd" /var/log/ftp.log
.
Příkazy které byly odeslány přes FTP, budou zaznamenány pomocí řetězce command:
; zde je ukázka:
May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.
Ano, ty Control-M se jako takové v protokolech objeví!
Jaké příkazy provedl místní klient FTP na jiné servery?
Protože aplikace mohly provádět své vlastní Akce FTP by bylo obtížné zabalit všechny možné klientské programy (například /usr/bin/ftp
), které by to zachytily. Nejlepším řešením je nakonfigurovat vzdálený server FTP tak, aby protokoloval příkazy, stačí stejně jako výše. Druhým nejlepším řešením by bylo nakonfigurovat bránu firewall AIX tak, aby umožňovala a protokolovala přenosy určené pro port 21.
Zkontrolujte, zda máte nainstalovanou sadu souborů ipsec:
lslpp -L bos.net.ipsec.rte; echo $?
Měla by zobrazovat sadu souborů s návratovým kódem 0, nikoli:
lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.
Zajistěte zařízení ipsec jsou povoleny:
lsdev -l ipsec_v4
Měli byste dostat jeden řádek zpět s nápisem „Dostupné“, ne „Definováno“ nebo vůbec žádné řádky zpět.
Pokud nebyl žádný výstup nebo bylo zařízení „Definováno“:
- spustit
smitty ipsec4
- zvolit
Start/Stop IP Security
, - zvolte
Start IP Security
, - ponechte výchozí hodnoty na
Now and After Reboot
aDeny All Non_Secure = no
- stiskněte klávesu Enter.
Zařízení ipsec device_v4 by se nyní mělo zobrazit jako „Dostupné“.
Vytvořte soubor protokolování pomocí: touch /var/log/ipsec.log
.
Aktualizovat syslog:
echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd
Přidejte pravidlo pro povolení a protokolování provozu určeného pro port 21:
# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”
Zahájit protokolování:
mkfilt -g start
Aktivovat sadu pravidel:
mkfilt -u
Počkejte, až dojde k odchozím připojením FTP, poté:
grep ipsec_logd /var/log/ipsec.log | grep DP:21
Uvidíte zdrojové a cílové adresy IP pro odchozí připojení FTP spolu s časová razítka, například:
May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0
Nezaznamenává obsah (příkazy) relace FTP, ale vy budete mít časová razítka a cíle. Pamatujte, že každý paket každého připojení FTP je protokolován!
Odkazy: