Ok, laten we zeggen dat ik verantwoordelijk ben voor een oude applicatie waarvan ik de details niet echt weet, Ik probeer mijn server , en iemand stelde voor om de 21-poort die voor FTP werd gebruikt, te verbieden.

Maar ik weet niet zeker welke programmas worden uitgevoerd en ik gebruik FTP op dagelijkse basis.

Stel dat ik de oplossing niet heb om de tools die ik wil op de server of op het netwerk te installeren. Wat zijn mijn oplossingen?

  • Moet ik de 21-poort doorsnijden en kijken wat overdrachten zijn geblokkeerd door de firewall?
  • Is er een plaats op de AIX-server waar ik naartoe moet gaan om de lijst met toegang tot en toegang tot servers via deze poort te zien? Als ik het IP-adres van de server (s) heb en de bestandsnamen, kan ik het programma volgen terwijl ik het doe. Is er dus een logbestand voor FTP?

Bewerken:

a) inetd is actief en ftp zit erin (bedankt @JeffSchal ler)

b) Ik probeer te weten inkomend en uitgaand verkeer op deze poort – met de opdrachten die werden uitgevoerd (indien mogelijk). Met andere woorden, mijn doel is om te weten

  • Welke commandos zijn uitgevoerd op de lokale FTP-server
  • Welke commandos zijn uitgevoerd door de lokale FTP-client naar andere servers

Elke suggestie is welkom.

Reacties

  • Als je niet ' weet niet welke systemen welke services op je server gebruiken, je hebt inderdaad een heel groot probleem.
  • Welk FTP-serverprogramma gebruik je?
  • Draait het vanuit inetd of standalone ?
  • Laat me de waarheid herformuleren die @roaima hierboven schreef: als je een AIX-beheerder bent en niet ' weet wie / wat je server gebruikt, ben je dat in een groot, groot probleem.
  • Oké jongens, laat ' s zeggen dat de beheerder op vakantie is, en ik wil iets voorbereiden om een relevante discussie met hem te hebben wanneer hij terugkomt.

Antwoord

Welke commandos zijn uitgevoerd op de lokale FTP-server ver?

Om FTP-logboekregistratie op een AIX-systeem in te schakelen, moet u FTP opnieuw configureren (in uw geval aangeroepen door inetd) om foutopsporingslogboeken naar syslog te sturen en om syslog te configureren om die logboeken in een bestand op te slaan.

  1. Bewerk /etc/inetd.conf en voeg -d aan het einde van de ftpd-regel: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Vernieuw inetd: refresh -s inetd

  3. Bewerk /etc/syslog.conf en voeg een regel toe voor daemon.debug om de logboeken ergens op te slaan : 

    daemon.debug /var/log/ftp.log

  4. Maak een bestand voor syslog om naar te schrijven: touch /var/log/ftp.log

  5. syslogd vernieuwen: refresh -s syslogd

Syslog zal de logs van elke daemon verzenden naar dit bestand, dus “wil je het filteren met grep, misschien: grep "daemon:debug ftpd" /var/log/ftp.log.

Commandos die via FTP zijn verzonden, worden gelogd met de tekenreeks command:; hier “een voorbeeld: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Ja, die Control-M” s verschijnen als zodanig in de logboeken!

Welke commandos zijn uitgevoerd door de lokale FTP-client naar andere servers?

Aangezien applicaties hun eigen FTP-acties, “zou het moeilijk zijn om elk mogelijk clientprogramma (zoals /usr/bin/ftp) in te pakken om dit op te vangen. De beste gok is om de FTP-server op afstand te configureren om de commandos te loggen. zoals we hierboven hebben gedaan. Het tweede beste zou zijn om de AIX-firewall te configureren om verkeer dat bestemd is voor poort 21 toe te staan en te loggen.

Zorg ervoor dat de ipsec-bestandsset is geïnstalleerd: 

lslpp -L bos.net.ipsec.rte; echo $?

Het zou een bestandsset moeten tonen met de retourcode 0, en niet: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Zorg ervoor dat de ipsec-apparaten zijn ingeschakeld: 

lsdev -l ipsec_v4

Je zou een regel terug moeten krijgen met de tekst “Beschikbaar”, niet “Gedefinieerd” of helemaal geen regels terug.

Als er geen uitvoer was of het apparaat was “Defined”:

  1. voer smitty ipsec4
  2. kies Start/Stop IP Security,
  3. kies Start IP Security,
  4. laat de standaardinstellingen op Now and After Reboot en Deny All Non_Secure = no
  5. druk op Enter.

De ipsec device_v4 zou nu moeten worden weergegeven als “Available”.

Maak een logbestand met: touch /var/log/ipsec.log.

Syslog bijwerken: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Voeg een regel toe om verkeer dat bestemd is voor poort 21 toe te staan en te loggen: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Loggen starten: 

mkfilt -g start

Activeer de regelset: 

mkfilt -u

Wacht tot uitgaande FTP-verbindingen plaatsvinden, en: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Je zult bron- en bestemmings-IPs zien voor uitgaande FTP-verbindingen, samen met de tijdstempels, zoals: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Het registreert de inhoud (commandos) van de FTP-sessie niet, maar u zult hebben tijdstempels en bestemmingen. Merk op dat elk pakket van elke FTP-verbinding wordt gelogd!

Referenties:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *