Oké, mondjuk azt, hogy felelős vagyok egy olyan régi alkalmazásért, amelynek nem igazán tudom a részleteit, megpróbálom biztosítani szerver , és valaki azt javasolta, hogy tiltsa meg az FTP-hez használt 21-es portot.

De nem vagyok biztos abban, hogy mely programok futnak, és mindennap használják az FTP-t.

Mondjuk, hogy nincs megoldás arra, hogy a kívánt szervereket a szerverre vagy a hálózatra telepítsem. Melyek a megoldásaim?

  • Át kell vágnom a 21-es portot, és megnézhetem, mi az átvitel blokkolta a tűzfal?
  • Van-e olyan hely az AIX szerveren, ahová kellene mennem, és meg kell néznem, hogy megtekinthessem-e az ezen a porton keresztül elérhető és elérett szerverek listáját? Ha rendelkezem a szerver (ek) IP-jével és a fájlnevek, nyomon tudom követni a programot. Tehát van-e naplófájl az FTP számára?

Szerkesztés:

a) inetd aktív, és ftp benne van (köszönöm @JeffSchal ler)

b) Megpróbálom tudni, hogy bejövő és kimenő forgalom ezen a porton – a végrehajtott parancsokkal (ha lehetséges). Más szavakkal, a célom tudni

  • Milyen parancsokat hajtott végre a helyi FTP-kiszolgálón
  • Milyen parancsokat hajtott végre a helyi FTP-kliens más szervereken

Minden javaslatot szívesen fogadunk.

Megjegyzések

  • Ha nem ' nem tudja, hogy mely rendszerek használják a szerveren található szolgáltatásokat, valóban nagy problémája van.
  • Melyik FTP szerver programot használja?
  • Inetd vagy önállóan fut? ?
  • Engedje meg, hogy átfogalmazzam azt az igazságot, amelyet @roaima fentebb írt: ha Ön AIX rendszergazda és nem ' nem tudja, ki / mi használja a szerverét, akkor Ön nagy, nagy bajban.
  • Oké srácok, mondják ' eket, hogy az admin nyaralni kezd, és szeretnék előkészíteni valamit, hogy megfelelő beszélgetést folytassak vele. amikor visszatér.

Válasz

Milyen parancsok elvégezték a helyi FTP ser-en ver?

Az FTP naplózás engedélyezéséhez AIX rendszeren újra kell konfigurálnia az FTP-t (amelyet az Ön esetében az inetd hív meg), hogy hibakeresési naplókat küldjön a syslogba és konfigurálja a syslogot, hogy ezeket a naplókat fájlba mentse.

  1. Szerkessze a /etc/inetd.conf elemet, és adja hozzá a -d az ftpd sor végéig: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Inetd frissítése: refresh -s inetd

  3. Szerkessze a /etc/syslog.conf elemet, és adjon hozzá egy sort az daemon.debug sorhoz a naplók valahová mentéséhez. : 

    daemon.debug /var/log/ftp.log

  4. Hozzon létre egy fájlt a syslog számára, amelyhez írható: touch /var/log/ftp.log

  5. A syslogd frissítése: refresh -s syslogd

A Syslog minden démon naplóját elküldi ehhez a fájlhoz, ezért le akarja szűrni a grep gombbal, esetleg: grep "daemon:debug ftpd" /var/log/ftp.log.

Parancsok amelyeket FTP-n keresztül küldtek, a command: karakterlánccal kerül naplózásra; itt “egy minta: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Igen, ezek a Control-M”-ek ilyenekként jelennek meg a naplókban!

Milyen parancsokat hajtott végre a helyi FTP-kliens más szervereknek?

Mivel az alkalmazások képesek voltak saját Az FTP műveletek miatt nehéz minden lehetséges kliens programot (például /usr/bin/ftp) bepakolni, hogy ezt elérje. A legjobb megoldás az, ha a távoli FTP szervert úgy konfigurálja, hogy naplózza a parancsokat, csak A második legjobb megoldás az AIX tűzfal beállítása a 21. port számára szánt forgalom engedélyezésére és naplózására.

Győződjön meg arról, hogy telepítve van az ipsec fájlkészlet: 

lslpp -L bos.net.ipsec.rte; echo $?

Meg kell jelenítenie egy fájlkészletet, amelynek visszatérési kódja 0, és nem: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Gondoskodjon az ipsec eszközökről engedélyezve vannak: 

lsdev -l ipsec_v4

Egy sort vissza kellene kapnia, és azt kell mondania, hogy “Elérhető”, nem “Meghatározott”, vagy egyáltalán nem. > Ha nem volt kimenet vagy az eszköz “Defined” volt:

  1. futtat smitty ipsec4
  2. válassza a Start/Stop IP Security,
  3. válassza a Start IP Security lehetőséget,
  4. hagyja az alapértelmezett értékeket Now and After Reboot és Deny All Non_Secure = no
  5. nyomja meg az Enter billentyűt.

Az ipsec device_v4-nek most “Elérhető” néven kell megjelennie.

Hozzon létre naplófájlt a következővel: touch /var/log/ipsec.log.

Syslog frissítése: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Adjon hozzá egy szabályt a 21. port számára szánt forgalom engedélyezéséhez és naplózásához: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Naplózás megkezdése: 

mkfilt -g start

A szabálykészlet aktiválása: 

mkfilt -u

Várja meg a kimenő FTP-kapcsolatok létrejöttét, majd: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

A kimenő FTP-kapcsolatok forrás- és cél-IP-jeit a időbélyegzők, például: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Nem naplózza az FTP-munkamenet tartalmát (parancsait), de Ön ” rendelkeznek időbélyegekkel és célokkal. Ne feledje, hogy az egyes FTP-kapcsolatok minden csomagja naplózásra kerül!

Hivatkozások:

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük