Okei, sanotaan, että olen vastuussa vanhasta sovelluksesta, josta en todellakaan tiedä yksityiskohtia. Yritän turvata palvelin , ja joku ehdotti FTP: n 21-portin kieltämistä.

Mutta en ole varma, mitkä ohjelmat ovat käynnissä ja käyttävätkö FTP: tä päivittäin.

Sano, että minulla ei ole ratkaisua haluamiesi työkalujen asentamiseen palvelimelle tai verkkoon. Mitkä ovat ratkaisuni?

  • Pitäisikö minun leikata 21-portti ja nähdä, mitkä siirrot ovat estää palomuuri?
  • Onko AIX-palvelimessa paikka, johon minun pitäisi mennä katsomaan luetteloa käytetyistä ja pääsyistä palvelimista tämän portin kautta? Jos minulla on palvelinten IP-osoitteet ja tiedostonimet, voin seurata sitä tekevää ohjelmaa. Onko siis FTP: n lokitiedostoa?

Muokkaa:

a) inetd on aktiivinen ja ftp on siinä (kiitos @JeffSchal ler)

b) Yritän tietää saapuvat ja lähtevä liikenne tässä portissa – suoritetuilla komennoilla (jos mahdollista). Toisin sanoen tavoitteeni on tietää

  • Mitkä komennot on suoritettu paikallisella FTP-palvelimella
  • Mitä komentoja paikallinen FTP-asiakas on suorittanut muille palvelimille

Kaikki ehdotukset ovat tervetulleita.

Kommentit

  • Jos et ' t tiedä, mitkä järjestelmät palvelimesi palveluja käyttävät, sinulla on todellakin erittäin suuri ongelma.
  • Mitä FTP-palvelinohjelmaa käytät?
  • Onko se käynnissä inetd: stä vai erillisenä ?
  • Anna minun muotoilla uudelleen totuus, jonka @roaima kirjoitti yllä: Jos olet AIX-järjestelmänvalvoja etkä ' tiedä, kuka / mikä käyttää palvelinta, olet suurissa, suurissa vaikeuksissa.
  • Ok kaverit, anna ' sanoa, että järjestelmänvalvoja on lomalla, ja haluan valmistaa jotain keskustelemaan hänen kanssaan. kun hän palaa.

Vastaa

Mitä komentoja on suoritettu paikalliselle FTP-serille ver?

Jos haluat ottaa FTP-kirjauksen käyttöön AIX-järjestelmässä, sinun on määritettävä uudelleen FTP (jota tapauksessasi kutsuu Inetd), jotta voit lähettää virhelokin lokitiedostoon ja määritä syslog tallentaa nämä lokit tiedostoon.

  1. Muokkaa /etc/inetd.conf ja lisää -d ftpd-rivin loppuun: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Päivitä inetd: refresh -s inetd

  3. Muokkaa /etc/syslog.conf ja lisää rivi daemon.debug -lokien tallentamiseksi jonnekin : 

    daemon.debug /var/log/ftp.log

  4. Luo tiedosto syslogille kirjoitettavaksi: touch /var/log/ftp.log

  5. Päivitä syslogd: refresh -s syslogd

Syslog lähettää kaikki daemon-lokit tähän tiedostoon, joten haluat suodattaa sen alas käyttämällä grep, ehkä: grep "daemon:debug ftpd" /var/log/ftp.log.

Komennot jotka lähetettiin FTP: n kautta, kirjataan merkkijonolla command:; tässä ”sa näyte: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Kyllä, nuo Control-M” -tyypit näkyvät sellaisenaan lokissa!

Mitä komentoja paikallinen FTP-asiakas on suorittanut muille palvelimille?

Koska sovellukset voivat suorittaa omat FTP-toimintojen vuoksi on vaikea käärittää kaikki mahdolliset asiakasohjelmat (kuten /usr/bin/ftp) tämän saamiseksi. Paras veto on määrittää etä-FTP-palvelin kirjaamaan komennot, vain kuten teimme yllä. Toiseksi paras on määrittää AIX-palomuuri sallimaan ja kirjaamaan portille 21 tarkoitettu liikenne.

Varmista, että ipsec-tiedostojoukko on asennettu: 

lslpp -L bos.net.ipsec.rte; echo $?

Sen pitäisi näyttää tiedostojoukko, jonka palautuskoodi on 0, eikä: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Varmista, että ipsec-laitteet ovat käytössä: 

lsdev -l ipsec_v4

Sinun pitäisi saada yksi rivi takaisin sanalla ”Käytettävissä”, ei ”Määritelty” tai ei yhtään riviä takaisin.

Jos ei tulosta tai laite oli määritelty:

  1. suorita smitty ipsec4
  2. valitse Start/Stop IP Security,
  3. valitse Start IP Security,
  4. jätä oletusasetukseksi Now and After Reboot ja Deny All Non_Secure = no
  5. paina Enter.

ipsec-laitteen_v4 pitäisi nyt näkyä saatavana.

Luo lokitiedosto: touch /var/log/ipsec.log.

Päivitä syslog: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Lisää sääntö, joka sallii ja kirjaa porttiin 21 tarkoitetun liikenteen: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Aloita kirjaaminen: 

mkfilt -g start

Aktivoi sääntöjoukko: 

mkfilt -u

Odota lähtevien FTP-yhteyksien syntymistä ja sitten: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Näet lähtevien FTP-yhteyksien lähde- ja kohde-IP: t sekä aikaleimat, kuten: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Se ei kirjaa FTP-istunnon sisältö (komennot), mutta sinä ” niillä on aikaleimat ja kohteet. Huomaa, että jokaisen FTP-yhteyden jokainen paketti lokitetaan!

Viitteet:

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *