Ok, la oss si at jeg er ansvarlig for gammel søknad som jeg ikke vet detaljene om, Jeg prøver å sikre meg server , og noen foreslo å forby 21-porten som brukte for FTP.
Men jeg er ikke sikker på hvilke programmer som kjører, og bruker FTP hver dag.
Si at jeg ikke har løsningen på å installere verktøyene jeg ønsker på serveren eller på nettverket. Hva er løsningene mine?
- Skal jeg kutte 21-porten og se hva overføringene er blokkert av brannmuren?
- Er det et sted på AIX-serveren hvor jeg bør gå og se for å se listen over servere som er tilgjengelige og har tilgang til via denne porten? Hvis jeg har IP-en til serveren (e) og filnavnene, vil jeg kunne spore programmet som gjør det. Så er det en loggfil for FTP?
Rediger:
a) inetd er aktiv og ftp er i den (takk @JeffSchal ler)
b) Jeg prøver å vite innkommende og utgående trafikk på denne porten – med kommandoene som ble utført (hvis mulig). Med andre ord er målet mitt å vite
- Hvilke kommandoer som er utført på den lokale FTP-serveren
- Hvilke kommandoer har blitt utført av den lokale FTP-klienten til andre servere
Alle forslag er velkomne.
Kommentarer
- Hvis du ikke ' t vet hvilke systemer som bruker hvilke tjenester på serveren du faktisk har et veldig stort problem.
- Hvilket FTP Server-program bruker du?
- Kjører det fra inetd eller frittstående ?
- La meg omformulere sannheten som @roaima skrev ovenfor: Hvis du er AIX-administrator og ikke ' ikke vet hvem / hva som bruker serveren din, er du i store, store problemer.
- Ok gutter, la ' si at administratoren er på ferie, og jeg vil forberede noe for å ha relevant diskusjon med ham når han kommer tilbake.
Svar
Hva kommandoer har blitt utført på den lokale FTP-tjeneren ver?
For å aktivere FTP-logging på et AIX-system, må du konfigurere FTP (blir kalt av inetd i ditt tilfelle) for å sende feilsøkingslogger til syslog og å konfigurere syslog for å lagre loggene i en fil.
-
Rediger
/etc/inetd.confog legg til-dtil slutten av ftpd-linjen:ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d -
Oppdater inetd:
refresh -s inetd -
Rediger
/etc/syslog.confog legg til en linje fordaemon.debugfor å lagre loggene et sted :daemon.debug /var/log/ftp.log -
Opprett en fil som syslog skal skrive til:
touch /var/log/ftp.log -
Oppdater syslogd:
refresh -s syslogd
Syslog sender alle loggene til en daemon til denne filen, så du vil filtrere den ned med grep, kanskje: grep "daemon:debug ftpd" /var/log/ftp.log.
Kommandoer som ble sendt via FTP logges med strengen command:; her «et eksempel:
May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete. Ja, disse Control-Mene vises som sådan i loggene!
Hvilke kommandoer har den lokale FTP-klienten utført til andre servere?
Siden applikasjoner kan utføre sine egne FTP-handlinger, det ville være vanskelig å pakke inn alle mulige klientprogrammer (for eksempel /usr/bin/ftp) for å fange dette. Det beste alternativet er å konfigurere den eksterne FTP-serveren til å logge kommandoene, bare som vi gjorde ovenfor. nest best ville være å konfigurere AIX-brannmuren til å tillate og logge trafikk som er bestemt for port 21.
Forsikre deg om at du har ipsec-filsett installert:
lslpp -L bos.net.ipsec.rte; echo $? Den skal vise et filsett oppført med returkoden 0, og ikke:
lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed. Forsikre deg om at ipsec-enhetene er aktivert:
lsdev -l ipsec_v4 Du bør få en linje tilbake som sier «Tilgjengelig», ikke «Definerte» eller ingen linjer tilbake i det hele tatt.
Hvis det ikke var noen utdata eller enheten var «Defined»:
- run
smitty ipsec4 - velg
Start/Stop IP Security, - velg
Start IP Security, - la standardinnstillingene være på
Now and After RebootogDeny All Non_Secure = no - trykk Enter.
Ipsec device_v4 skal nå vises som «Tilgjengelig».
Opprett en loggfil med: touch /var/log/ipsec.log.
Oppdater syslog:
echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd Legg til en regel for å tillate og logge trafikk for port 21:
# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic” Start logging:
mkfilt -g start Aktiver regelsettet:
mkfilt -u Vent til utgående FTP-tilkoblinger skjer, så:
grep ipsec_logd /var/log/ipsec.log | grep DP:21 Du vil se kilde- og destinasjons-IP-er for utgående FTP-tilkoblinger sammen med tidsstempler, for eksempel:
May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0 Det logger ikke innholdet (kommandoene) i FTP-økten, men du vil har tidsstempler og destinasjoner. Vær oppmerksom på at hver pakke med hver FTP-tilkobling er logget!
Referanser: