Ok, lad os sige, at jeg er ansvarlig for den gamle applikation, som jeg ikke rigtig kender detaljerne i, Jeg prøver at sikre min server , og nogen foreslog at forbyde 21-porten, der bruges til FTP.

Men jeg er ikke sikker på, hvilke programmer der kører og bruger FTP dagligt.

Sig, at jeg ikke har løsningen til at installere de værktøjer, jeg ønsker på serveren eller på netværket. Hvad er mine løsninger?

  • Skal jeg skære 21-porten og se, hvad der er overførsler blokeret af firewallen?
  • Er der et sted på AIX-serveren, hvor jeg skal hen og se for at se listen over servere, der er adgang til og adgang til via denne port? Hvis jeg har IP-adressen til serveren / serverne og filnavnene, vil jeg være i stand til at spore programmet, der gør det. Så er der en logfil til FTP?

Rediger:

a) inetd er aktiv, og ftp er i den (tak @JeffSchal ler)

b) Jeg prøver at vide indkommende og udgående trafik på denne port – med de kommandoer, der blev udført (hvis muligt). Med andre ord er mit mål at vide

  • Hvilke kommandoer der er udført på den lokale FTP-server
  • Hvilke kommandoer har den lokale FTP-klient udført til andre servere

Et hvilket som helst forslag velkommen.

Kommentarer

  • Hvis du ikke ' t ved, hvilke systemer der bruger hvilke tjenester på din server, du har et meget stort problem.
  • Hvilket FTP-serverprogram bruger du?
  • Kører det fra inetd eller standalone ?
  • Lad mig omformulere sandheden, som @roaima skrev ovenfor: hvis du er AIX-administrator og ikke ' ikke ved, hvem / hvad bruger din server, er du i store, store problemer.
  • Ok gutter, lad ' s sige, at administratoren er på ferie, og jeg vil forberede noget til at have relevant diskussion med ham når han kommer tilbage.

Svar

Hvilke kommandoer er udført på den lokale FTP-server ver?

For at aktivere FTP-logning på et AIX-system skal du omkonfigurere FTP (kaldes af inetd i dit tilfælde) for at sende debug-logfiler til syslog og at konfigurere syslog til at gemme disse logfiler i en fil.

  1. Rediger /etc/inetd.conf og tilføj -d til slutningen af ftpd-linjen: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Opdater inetd: refresh -s inetd

  3. Rediger /etc/syslog.conf og tilføj en linje til daemon.debug for at gemme logfilerne et eller andet sted : 

    daemon.debug /var/log/ftp.log

  4. Opret en fil til syslog at skrive til: touch /var/log/ftp.log

  5. Opdater syslogd: refresh -s syslogd

Syslog sender alle daemon-logfiler til denne fil, så du vil filtrere den ned med grep, måske: grep "daemon:debug ftpd" /var/log/ftp.log.

Kommandoer der blev sendt via FTP vil blive logget med strengen command:; her “en prøve: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Ja, disse Control-Mer vises som sådan i logfilerne!

Hvilke kommandoer har den lokale FTP-klient udført til andre servere?

Da applikationer kunne udføre deres egne FTP-handlinger, det ville være svært at pakke alle mulige klientprogrammer (såsom /usr/bin/ftp) for at fange dette. Det bedste valg er at konfigurere den eksterne FTP-server til at logge kommandoerne, bare som vi gjorde ovenfor. Andet bedst ville være at konfigurere AIX-firewallen til at tillade-og-log-trafik bestemt til port 21.

Sørg for, at du har ipsec-filsættet installeret: 

lslpp -L bos.net.ipsec.rte; echo $?

Det skal vise et filsæt, der er angivet med en returkode på 0, og ikke: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Sørg for, at ipsec-enhederne er aktiveret: 

lsdev -l ipsec_v4

Du skal få en linje tilbage, der siger “Tilgængelig”, ikke “Defineret” eller slet ingen linjer tilbage.

Hvis der ikke var nogen output eller enheden var “Defineret”:

  1. kør smitty ipsec4
  2. vælg Start/Stop IP Security,
  3. vælg Start IP Security,
  4. lad standardindstillingerne være ved Now and After Reboot og Deny All Non_Secure = no
  5. tryk Enter.

ipsec device_v4 skal nu vises som “Tilgængelig”.

Opret en logfil med: touch /var/log/ipsec.log.

Opdater syslog: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Tilføj en regel for at tillade og logge trafik bestemt til port 21: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Start logning: 

mkfilt -g start

Aktiver regelsættet: 

mkfilt -u

Vent på, at udgående FTP-forbindelser opstår, så: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Du vil se kilde- og destinations-IPer for udgående FTP-forbindelser sammen med tidsstempler, såsom: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Det logger ikke indholdet (kommandoer) i FTP-sessionen, men du “ll har tidsstempler og destinationer. Bemærk, at hver pakke af hver FTP-forbindelse er logget!

Referencer:

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *