Ok, să spunem că sunt responsabil pentru aplicația veche despre care nu știu cu adevărat detaliile, Încerc să-mi securizez server și cineva a sugerat să interzică portul 21 utilizat pentru FTP.

Dar nu sunt sigur ce programe rulează și folosesc FTP în fiecare zi.

Să spun că nu am soluția pentru a instala instrumentele pe care le doresc pe server sau în rețea. Care sunt soluțiile mele?

  • Ar trebui să tai portul 21 și să văd ce transferuri sunt blocat de firewall?
  • Există un loc pe serverul AIX unde ar trebui să merg și să caut lista serverelor accesate și care accesează prin acest port? Dacă am IP-ul serverului (serverelor) și numele fișierelor, voi putea urmări programul care o face. Deci, există un fișier jurnal pentru FTP?

Edit:

a) inetd este activ și ftp este în el (mulțumesc @JeffSchal ler)

b) Încerc să știu de intrare și trafic de ieșire pe acest port – cu comenzile care au fost efectuate (dacă este posibil). Cu alte cuvinte, scopul meu este să știu

  • Ce comenzi au fost efectuate pe serverul FTP local
  • Ce comenzi au fost efectuate de clientul FTP local către alte servere

Orice sugestie este binevenită.

Comentarii

  • Dacă nu aveți ' nu știți ce sisteme utilizează ce servicii de pe serverul dvs. aveți într-adevăr o problemă foarte mare.
  • Ce program FTP Server utilizați?
  • Se execută de la inetd sau independent ?
  • Permiteți-mi să reformulez adevărul scris de @roaima mai sus: dacă sunteți administrator AIX și nu ' nu știți cine / ce folosește serverul dvs., sunteți într-o mare, mare problemă.
  • Băieți, să spunem ' că administratorul este în vacanță și vreau să pregătesc ceva pentru a avea discuții relevante cu el când se întoarce.

Răspuns

Ce comenzi au fost efectuate pe serverul FTP local ver?

Pentru a activa înregistrarea FTP pe un sistem AIX, trebuie să reconfigurați FTP (fiind apelat de inetd în cazul dvs.) pentru a trimite jurnale de depanare către syslog și pentru a configura syslog pentru a salva aceste jurnale într-un fișier.

  1. Editați /etc/inetd.conf și adăugați -d până la sfârșitul liniei ftpd: 

    ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -d

  2. Reîmprospătare inetd: refresh -s inetd

  3. Editați /etc/syslog.conf și adăugați o linie pentru daemon.debug pentru a salva jurnalele undeva : 

    daemon.debug /var/log/ftp.log

  4. Creați un fișier pentru syslog în care să scrie: touch /var/log/ftp.log

  5. Actualizați syslogd: refresh -s syslogd

Syslog va trimite jurnalele oricărui daemon la acest fișier, așa că „veți dori să îl filtrați cu grep, poate: grep "daemon:debug ftpd" /var/log/ftp.log.

Comenzi care au fost trimise prin FTP vor fi înregistrate cu șirul command:; aici „un eșantion: 

May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: command: USER username-here^M May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: <--- 331 May 18 10:13:35 ftpserver daemon:debug ftpd[3932700]: Password required for username-here. May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: command: PASS May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: <--- 230- May 18 10:13:42 ftpserver daemon:debug ftpd[3932700]: Last login: Fri May 18 10:13:02 EDT 2018 on ftp from ftpclient.example.com May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 230 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: User username-here logged in. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: PORT 10,1,1,1,229,54^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 200 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: PORT command successful. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: command: LIST^M May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 150 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Opening data connection for /bin/ls. May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: <--- 226 May 18 10:13:43 ftpserver daemon:debug ftpd[3932700]: Transfer complete.

Da, acele Control-M apar ca atare în jurnalele!

Ce comenzi au fost efectuate de clientul FTP local către alte servere?

Deoarece aplicațiile ar putea să își îndeplinească propriile funcții Acțiuni FTP, ar fi dificil să înfășurați fiecare program client posibil (cum ar fi /usr/bin/ftp) pentru a prinde acest lucru. Cel mai bun pariu este să configurați serverul FTP la distanță pentru a înregistra comenzile, doar Așa cum am făcut mai sus. În al doilea rând, cel mai bun ar fi să configurați firewall-ul AIX pentru a permite și juca traficul destinat portului 21.

Asigurați-vă că aveți instalat setul de fișiere ipsec: 

lslpp -L bos.net.ipsec.rte; echo $?

Ar trebui să afișeze un set de fișiere listat cu un cod de returnare 0 și nu: 

lslpp: 0504-132 Fileset bos.net.ipsec.rte not installed.

Asigurați-vă că dispozitivele ipsec sunt activate: 

lsdev -l ipsec_v4

Ar trebui să primiți o linie înapoi care să spună „Disponibil”, nu „Definit” sau fără linii înapoi deloc.

Dacă nu a existat nicio ieșire sau dispozitivul a fost „Definit”:

  1. rulați smitty ipsec4
  2. alegeți Start/Stop IP Security,
  3. alegeți Start IP Security,
  4. lăsați valorile implicite la Now and After Reboot și Deny All Non_Secure = no
  5. apăsați Enter.

Dispozitivul ipsec_v4 ar trebui să apară acum ca „Disponibil”.

Creați un fișier de înregistrare cu: touch /var/log/ipsec.log.

Actualizați syslog: 

echo "local4.debug /var/log/ipsec.log rotate size 100k files 4" >> /etc/syslog.conf refresh -s syslogd

Adăugați o regulă pentru a permite și înregistra traficul destinat portului 21: 

# -v 4 == IPv4 # -n 2 == add this after the first rule # -a P == permit # -O eq == destination port *equals* 21 # -P 21 == destination port 21 # -w O == outbound connections; change this to “B” to log in both directions # -c tcp == TCP protocol # -s, -m, -d, -M = source/dest IP & mask (any) # -l Y = Log it # -r L = applies only to packets destined or originated from the local host genfilt -v 4 -n 2 -a P -O eq -P 21 -w O -c tcp -s 0.0.0.0 -m 0.0.0.0 -d 0.0.0.0 -M 0.0.0.0 -l Y -r L -D “allow and log port 21 traffic”

Începeți înregistrarea: 

mkfilt -g start

Activați setul de reguli: 

mkfilt -u

Așteptați să apară conexiuni FTP de ieșire, apoi: 

grep ipsec_logd /var/log/ipsec.log | grep DP:21

Veți vedea adresele IP sursă și de destinație pentru conexiunile FTP de ieșire împreună cu timestamps, cum ar fi: 

May 18 11:29:40 localhost local4:info ipsec_logd: #:0 R:p O:10.1.1.1 S:10.1.1.1 D:10.2.2.2 P:tcp SP:55091 DP:21 R:l I:en0 F:n T:0 L:0

Nu înregistrează conținutul (comenzile) sesiunii FTP, dar tu vei au marcaje de timp și destinații. Rețineți că fiecare pachet al fiecărei conexiuni FTP este înregistrat!

Referințe:

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *