Ok, digamos que eu seja responsável por um aplicativo antigo do qual realmente não sei os detalhes, Estou tentando proteger meu servidor , e alguém sugeriu proibir a porta 21 usada para FTP.

Mas não tenho certeza de quais programas estão rodando e usam FTP no dia a dia.

p> Digamos que não tenho a solução para instalar as ferramentas que desejo no servidor ou na rede. Quais são minhas soluções?

  • Devo cortar a porta 21 e ver o que são as transferências bloqueado pelo firewall?
  • Há algum lugar no servidor AIX onde devo ir e ver a lista de servidores acessados e acessando através desta porta? Se eu tiver o IP do (s) servidor (es) e os nomes dos arquivos, poderei rastrear o programa fazendo isso. Existe um arquivo de log para FTP?

Editar:

a) inetd está ativo e ftp está nele (obrigado @JeffSchal ler)

b) Estou tentando saber entrada e tráfego de saída nesta porta – com os comandos que foram executados (se possível). Em outras palavras, meu objetivo é saber

  • quais comandos foram executados no servidor FTP local
  • quais comandos foram executados pelo cliente FTP local para outros servidores

Qualquer sugestão é bem-vinda.

Comentários

  • Se você não ' t sei quais sistemas estão usando quais serviços em seu servidor você realmente tem um grande problema.
  • Qual programa de servidor FTP você está usando?
  • Ele está sendo executado a partir do inetd ou autônomo ?
  • Deixe-me reformular a verdade que @roaima escreveu acima: se você é um administrador de AIX e não ' não sabe quem / o que usa seu servidor, você é em um grande, grande problema.
  • Ok pessoal, vamos ' s dizer que o administrador está de férias e eu quero preparar algo para ter uma discussão relevante com ele quando ele voltar.

Resposta

Quais comandos foram realizados no servidor FTP local ver?

Para habilitar o log de FTP em um sistema AIX, você precisa reconfigurar o FTP (sendo chamado pelo inetd no seu caso) para enviar logs de depuração para syslog e para configurar o syslog para salvar esses logs em um arquivo.

  1. Edite /etc/inetd.conf e adicione -d ao final da linha ftpd: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Atualize o inetd: refresh -s inetd

  3. Edite /etc/syslog.conf e adicione uma linha para daemon.debug para salvar os logs em algum lugar : 

    daemon.debug /var/log/ftp.log

  4. Crie um arquivo para o syslog gravar em: touch /var/log/ftp.log

  5. Atualizar syslogd: refresh -s syslogd

O syslog enviará os logs de qualquer daemon a este arquivo, então você “desejará filtrá-lo com grep, talvez: grep "daemon:debug ftpd" /var/log/ftp.log.

Comandos que foram enviados via FTP serão registrados com a string command:; aqui “um exemplo: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Sim, esses Control-M” s aparecem como tais nos registros!

Quais comandos foram executados pelo cliente FTP local para outros servidores?

Já que os aplicativos podem executar seus próprios Ações de FTP, seria difícil agrupar todos os programas cliente possíveis (como /usr/bin/ftp) para pegar isso. A melhor aposta é configurar o servidor FTP remoto para registrar os comandos, apenas como fizemos acima. O segundo melhor seria configurar o firewall AIX para permitir e registrar o tráfego destinado à porta 21.

Certifique-se de ter o conjunto de arquivos ipsec instalado: 

lslpp -L bos.net.ipsec.rte; echo $?

Ele deve mostrar um conjunto de arquivos listado com um código de retorno de 0, e não: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Certifique-se dos dispositivos ipsec estão ativados: 

lsdev -l ipsec_v4

Você deve obter uma linha de volta dizendo “Disponível”, não “Definido” ou nenhuma linha de volta.

Se não houver saída ou o dispositivo foi “Definido”:

  1. execute smitty ipsec4
  2. escolha Start/Stop IP Security,
  3. escolha Start IP Security,
  4. deixe os padrões em Now and After Reboot e Deny All Non_Secure = no
  5. pressione Enter.

O ipsec device_v4 agora deve ser exibido como “Disponível”.

Crie um arquivo de registro com: touch /var/log/ipsec.log.

Atualize o syslog: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Adicione uma regra para permitir e registrar o tráfego destinado à porta 21: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Comece a registrar:

Ative o conjunto de regras: 

mkfilt -u

Aguarde até que as conexões de saída de FTP ocorram, então: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Você verá os IPs de origem e de destino para conexões de saída de FTP junto com o carimbos de data / hora, como: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Ele não registra o conteúdo (comandos) da sessão FTP, mas você ” têm carimbos de data / hora e destinos. Observe que todos os pacotes de cada conexão FTP são registrados!

Referências:

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *