लिनक्स iptables के साथ, क्या प्रक्रिया / कमांड नाम लॉग आउट करना संभव है जो एक आउटबाउंड कनेक्शन शुरू करता है?

27

मैं लिनक्स डेस्कटॉप पर आउटबाउंड कनेक्शन शुरू करने वाली प्रक्रियाओं का ट्रैक रखना चाहूंगा। सबसे अच्छा मैं यह कर सकता हूं:

iptables -A OUTPUT -m state --state NEW -j LOG --log-uid

यह कनेक्शन शुरू करने वाले यूआईडी / जीआईडी को लॉग करता है, लेकिन प्रक्रिया / कमांड नाम या यहां तक कि पीआईडी नहीं। अगर मुझे सिर्फ पीआईडी मिल सकती है, तो मैं शायद एक स्क्रिप्ट को कोड़ा मार सकता हूं जो लॉग लिखे जाने पर प्रक्रिया का नाम खींचती है, लेकिन ऐसा लगता है कि यह भी संभव नहीं है।

आदर्श रूप से मैं आने वाली कनेक्शनों को स्वीकार करने वाली प्रक्रियाओं को भी लॉग इन करना चाहूंगा।

लिनक्स बॉक्स पर iptables [या कुछ और] के साथ यह कैसे संभव हो सकता है कोई भी विचार?

linux firewall iptables

— Nack
स्रोत

मुझे विश्वास है (पूरी तरह से निश्चित नहीं) इस सवाल का जवाब सर्वरफॉल्ट पर दिया गया था, इसे देखें।

— niXar

व्यक्तिगत रूप से, मैं इस नौकरी के लिए sysdig का उपयोग करूँगा ।

— चार्ल्स डफी

7

आप मॉनिटर / प्रोक / नेट / tcp का प्रोग्राम लिख सकते हैं, जिसका आउटपुट इस तरह दिखता है:

obi-wan ~ # cat /proc/net/tcp
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode
   0: 00000000:0050 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 4847458 1 e6060560 300 0 0 2 -1
   1: 00000000:04D2 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 4847477 1 f2e64da0 300 0 0 2 -1
   2: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 7109 1 f2e65ac0 300 0 0 2 -1
   3: 0100007F:177A 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000        0 4864457 1 d2726540 300 0 0 2 -1
   4: 00000000:01BB 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 4847462 1 e60609c0 300 0 0 2 -1
   5: 6B00A8C0:0016 30F4B5CA:C3AB 01 00000044:00000000 01:00000031 00000000     0        0 4982752 3 f2e64940 55 4 0 2 -1
   6: 0100007F:B143 0100007F:BC5E 01 00000000:00000000 00:00000000 00000000  1000        0 2130283 1 d59cce40 21 4 1 2 -1
   7: 0100007F:BC5E 0100007F:B143 01 00000000:00000000 00:00000000 00000000  1000        0 2130285 1 d59cd2a0 21 4 0 2 -1
   8: 6B00A8C0:0016 3276C35B:8E11 01 00000000:00000000 02:000ADAB1 00000000     0        0 4982629 2 d2727260 40 4 8 2 2
   9: 6B00A8C0:0016 6500A8C0:DD5D 01 00000538:00000000 01:00000029 00000000     0        0 4864416 5 e6061b40 42 12 27 3 -1

फिर आप खोले गए पोर्ट्स को इनोड्स से संबंधित कर सकते हैं, जो प्रक्रियाओं से संबंधित हो सकता है और प्रत्येक प्रक्रिया के लिए सूचीबद्ध फ़ाइल विवरणकों पर रीडलिंक करके फाइल डिस्क्रिप्टर से संबंधित हो सकता है:

obi-wan ~ # readlink /proc/28850/fd/3
socket:[4847458]

यहां देखें कि इनकोड 4847458 उपरोक्त सूची में पहले tcp सॉकेट से मेल खाता है। Netstat -tapn का आउटपुट मेरे लिए इसे सत्यापित करता है (और याद रखें कि 0x50 == 80):

obi-wan ~ # netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     28850/cherokee-work

जब मॉनिटर प्रोग्राम / proc / net / tcp में बदलाव को नोटिस करता है, तो डेटा को पार्स करें और निर्धारित करें कि क्या परिवर्तन एक नया खोला गया सॉकेट है। तो फिर आप बस / प्रक्रिया में सूचीबद्ध प्रत्येक प्रक्रिया के लिए सभी फ़ाइल डिस्क्रिप्टर की गणना कर सकते हैं, मेल खाते इनकोड को खोजने के लिए प्रत्येक पर रीडिंकल कर सकते हैं। एक बार जब आप पाते हैं, तो आपके पास अपना स्वयं का स्वामित्व है, जिसमें से आप अपनी इच्छानुसार कुछ भी प्राप्त कर सकते हैं, खासकर यदि आपके पास लेखांकन प्रक्रिया है।

यदि आपको तात्कालिक होने के लिए आपकी सूचना की आवश्यकता नहीं है, तो आपका मॉनिटर कार्यक्रम धीमी गति से मतदान (शायद 50ms या 100ms, या यहां तक कि 1000ms) की अवधि का उपयोग कर सकता है।

— बेन कोलिन्स
स्रोत

2

एक विकल्प प्रदान करने के लिए धन्यवाद! लेकिन हर बार हर खुली फाइल के डिस्क्रिप्टर से मतदान और क्वेरी की आवश्यकता बहुत मजबूत नहीं है और बहुत अक्षम है। मैं अभी भी उम्मीद कर रहा हूं कि कोई व्यक्ति एक बेहतर समाधान प्राप्त करेगा, या स्पष्ट करेगा कि यह किसी भी अधिक iptables का हिस्सा क्यों नहीं है, और क्यों - cmd-owner को निराधार माना जाता है।

— nealmcb

जब तक कर्नेल / proc के अपने लेआउट को नहीं बदलता है या जब तक netstat और readlink या ps परिवर्तन (संभावनाहीन) नहीं होता है, मैं कहूंगा कि यह काफी मजबूत है। आप किस तरह की दक्षता के मुद्दे से चिंतित हैं? यदि आप तात्कालिक प्रसंस्करण चाहते हैं, तो आपको iptables के साथ उपयोग के लिए एक कर्नेल मॉड्यूल लिखना होगा।

— बेन कॉलिन्स

यदि मैं अस्वीकृत कनेक्शन लॉग कर रहा हूं तो सॉकेट कर्नेल द्वारा तुरंत नष्ट हो जाता है, इसलिए मेरे पास इसे देखने का बहुत कम मौका है / खरीद में। हो सकता है कि कनेक्शन समय समाप्त करने के लिए केवल DROP के संदर्भ में परिवर्तन करें ...

— Marki555

यह सुपर-टाइम टाइम विंडो के इस परिदृश्य में मदद नहीं करता है, लेकिन जहाँ तक पार्सिंग / प्रोक की नाजुकता है, व्यक्ति "lsof -F -i" का भी उपयोग कर सकता है और नेटवर्क का एक अच्छा सारगर्भित डंप प्राप्त कर सकता है। डेटा। वह भी फ़िल्टर्ड किया जा सकता है (केवल एक विशिष्ट पोर्ट पर), और आपके लिए पहले से ही सभी फ़ाइल नाम / pid / user मैपिंग कर चुका है।

— dannysauer

9

आप स्वामी मिलान मॉड्यूल चाहते हैं, जो केवल OUTPUT श्रृंखला पर काम करता है (और शायद PREROUTING ...?)। डॉक्स पढ़ें, लेकिन यह कुछ इस तरह काम करेगा:

iptables --append OUTPUT -m owner --cmd-owner "$app" \
--jump LOG --log-level DEBUG --log-prefix "OUTPUT $app packet died: "

1

क्या कोई iptables कमांड सेट कर सकता है और एक चर को इस तरह से प्रक्षेपित कर सकता है? यह मेरे लिए काम करने के लिए प्रतीत नहीं होता है। इसके अलावा, ऐसा लगता है कि कर्नेल> = 2.6.15 में --cmd-owner विकल्प को हटा दिया गया था। यह दुर्भाग्यपूर्ण है, क्योंकि यह एक उपयोगी विकल्प की तरह लगता है।

4

हां, --cmd-owner को हटा दिया गया: "unfixable broken"

— guettli

1

जानकारी के लिए धन्यवाद, @guettli Permalink.gmane.org/… पर अधिक विवरण दिए गए हैं, जो चैंज के अधिक उद्धरण देते हैं: "[NETFILTER]: ipt में टास्कलिस्ट_लॉक का दुरुपयोग निकालें {6} स्वामी; अपने बेवजह टूट जाने के बाद से cmd / sid / / pid मिलान रिप करें। टास्कलिस्ट_लॉक में परिवर्तनों को लॉक करने का तरीका। " लेकिन मैं अभी भी कुछ और पृष्ठभूमि, या बेहतर विकल्प पसंद करूंगा।

— nealmcb

5

कुछ भी नहीं iptables या लॉगिंग के साथ करने के लिए; लेकिन यहां एक "शीर्ष" इंटरफ़ेस है जो / proc / निर्देशिका को प्रदूषित करता है और प्रति कार्यक्रम / pid प्रति बैंडविड्थ प्रदर्शित करता है:

http://sourceforge.net/projects/nethogs

"नेटहोग्स एक छोटा 'नेट टॉप' टूल है। प्रति प्रोटोकॉल या प्रति सबनेट के ट्रैफ़िक को तोड़ने के बजाय, अधिकांश टूल ऐसा करते हैं, यह प्रक्रिया द्वारा बैंडविड्थ को समूहित करता है। नेटहॉग्स लोड होने के लिए एक विशेष कर्नेल मॉड्यूल पर भरोसा नहीं करता है।"

— स्थानीय
स्रोत

मैंने पाया है कि नीथोग अविश्वसनीय आंकड़े देते हैं, लेकिन 2 (+ नेटटॉप) यह अच्छी तरह से करता है।

— तोबू

1

जैसा कि मैं एक समान प्रश्न देख रहा हूं, मैंने स्काइप को गति देने की कोशिश की है, मैंने पाया है

$ netstat -p | grep <mycmdname>

पोर्ट नंबर को pid / cmd से लिंक करने का एक अच्छा तरीका है, अब pid-owner / cmd-owner अब सीधे iptables में समर्थित नहीं है; फिर आपको परिणाम को पार्स करने की आवश्यकता होगी, फिर पोर्ट के अनुसार iptables नियम जोड़ें; स्वाभाविक रूप से आपको बाद में / सिस्टम शटडाउन / पुनः आरंभ, आदि पर कुछ सफाई कोड की आवश्यकता होगी; सफाई समय पर संदर्भ के लिए एक फ़ाइल के लिए पोर्ट नंबर / एस सहेजें

वास्तव में पोर्ट नंबर प्रश्न का एक अच्छा जवाब है

$ sudo netstat -p | grep "tcp.*<mycmdname>" | sed -r "s/.*<MYCOMPUTER>:([0-9]+).*/\1/"`

आपको अपनी आवश्यकताओं के अनुसार grep tcp तत्व को समायोजित करने की आवश्यकता हो सकती है

तब मेरे उद्देश्यों के लिए, पोर्ट संख्याओं के अनुसार tc u32 फ़िल्टर जोड़ना सबसे सरल था, पोर्ट संख्याओं के अनुसार iptables प्रविष्टियाँ

— निशान
स्रोत