abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 18:11 | Komunita

    Vývojáři Ubuntu MATE oznámili vydání Ubuntu MATE 21.10 pro 8 palcový UMPC notebook GPD Pocket 3.

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Zajímavý software

    Počítačová hra Oil Rush (Wikipedie) od UNIGINE běžící také na Linuxu byla vydána 25. ledna 2012. K desátému výročí je hra na Steamu zdarma.

    Ladislav Hagara | Komentářů: 0
    dnes 12:44 | Nová verze

    Byla vydána nová verze 1.10.0 multiplatformního frontendu k emulátorům, herním enginům a multimediálním přehrávačům RetroArch (Wikipedie). Přehled novinek v příspěvku na blogu. RetroArch je k dispozici také na Steamu.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Zajímavý článek

    Článek Zajímavé nástroje pro CLI na MojeFedora.cz představuje nástroje bat (vylepšený cat), diff-so-fancy (barevný diff), fx (práce s JSONem) a fzf (rychlé vyhledávání).

    Ladislav Hagara | Komentářů: 1
    dnes 07:00 | Nová verze

    Sway, dlaždicový (tiling) správce oken pro Wayland kompatibilní s i3, byl vydán ve verzi 1.7. Do vývoje se zapojilo 77 vývojářů. Přehled novinek na GitHubu. Sway 1.7 závisí na wlroots 0.15.0.

    Ladislav Hagara | Komentářů: 1
    včera 14:44 | Nasazení Linuxu

    Kraj Ille-et-Vilaine ve Francii nasadil open source software pro správu souborů do 21 středních škol, což představuje 12 000 uživatelů mezi učiteli a studenty. Cílový stav je 35 000 uživatelů. Pro sdílení a správu dat používají Nextcloud, pro tvorbu dokumentů Collabora Office, což je webová verze LibreOffice.

    Zdeněk Crhonek | Komentářů: 11
    včera 14:33 | Komunita

    Evropská komise vyhlašuje bug bounty program pro aplikace LibreOffice, LEOS, Mastodon, Odoo a CryptPad. Až 5 000 eur si může odnést objevitel bezpečnostní chyby v uvedených aplikacích, 20 % bonus dostane, pokud chybu rovnou opraví. Celková odměna určená pro objevitele chyb je 200 000 eur. Aplikace byly vybrány, protože se používají v evropských veřejných službách.

    Zdeněk Crhonek | Komentářů: 0
    22.1. 09:00 | Zajímavý software

    Briar (Wikipedie) je aplikace poskytující peer-to-peer šifrované posílání zpráv a diskusní fóra. Briar nespoléhá na centrální server. Zprávy jsou synchronizovány přímo mezi uživateli pomocí Bluetooth, Wi-Fi, Toru nebo také offline (SD karty a USB disky). Dosud byl podporován pouze Android. Včera byla na Twitteru oznámena první beta verze Briar Desktopu pro Linux. Zdrojové kódy jsou k dispozici na GitLabu.

    Ladislav Hagara | Komentářů: 10
    22.1. 08:00 | IT novinky

    Vývojáři linuxové distribuce Manjaro ve spolupráci s výrobcem počítačů Minisforum na Twitteru představili mini počítač s předinstalovaným Manjaro Linuxem DeskMini UM700 × Manjaro Linux s Ryzen 7 3750H a Radeon RX Vega 10. Cena začíná na 499 $.

    Ladislav Hagara | Komentářů: 3
    21.1. 14:00 | Komunita Ladislav Hagara | Komentářů: 4
    Jestliže jste používali distribuci CentOS Linux, jejíž konec byl oznámen před rokem, kam jste přešli?
     (31%)
     (1%)
     (8%)
     (18%)
     (1%)
     (4%)
     (36%)
    Celkem 201 hlasů
     Komentářů: 14, poslední 14.1. 14:44
    Rozcestník



    Dotaz: auditctl vs tcpdump nesrovnalost

    17.1.2017 16:06 marek
    auditctl vs tcpdump nesrovnalost
    Přečteno: 461×
    Dobry den.

    Dle dokumentace kdyz mam zaple:

    # auditctl -l
    -a always,exit -F arch=b64 -S socket -F a0=0x2 -F key=TEST
    #

    Mel bych videt vsechna volani tcp socketu.

    Pokud udelam:

    nc 216.58.201.78 443

    skutecne v /var/log/audit/audit.log vidim:

    type=SYSCALL msg=audit(1484664247.522:74459): arch=c000003e syscall=41 success=yes exit=3 a0=2 a1=1 a2=6 a3=55de58c59140 items=0 ppid=18935 pid=19137 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts22 ses=1 comm="nc" exe="/usr/bin/ncat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="TEST"
    type=PROCTITLE msg=audit(1484664247.522:74459): proctitle=6E63003231362E35382E3230312E373800343433

    v tcpdump vidim odpovidajici:

    15:45:02.357762 IP 172.24.146.215.34144 > 216.58.201.78.443: Flags [S], seq 2203129635, win 29200, options [mss 1460,sackOK,TS val 1204233792 ecr 0,nop,wscale 7], length 0
    15:45:02.358440 IP 216.58.201.78.443 > 172.24.146.215.34144: Flags [R.], seq 1769143029, ack 2203129636, win 29200, length 0

    Potud v poradku.

    V tcpdump se mi ale objevuji spojeni, ke kterym neni adekvatni zaznam v /var/log/audit/audit.log:

    15:50:55.349067 IP 172.24.146.215.34498 > 216.58.201.78.443: Flags [S], seq 2932252123, win 29200, options [mss 1460,sackOK,TS val 1204586783 ecr 0,nop,wscale 7], length 0
    15:50:55.349663 IP 216.58.201.78.443 > 172.24.146.215.34498: Flags [R.], seq 1628348476, ack 2932252124, win 29200, length 0

    Pokud nahodou to spojeni chytim pomoci ss nema vyplnen proces:

    #while true; do  ss -napt; done | grep 216.58.201.78             
    SYN-SENT   0      1      172.24.146.215:34872              216.58.201.78:443                
    ^C
    #

    Tusite nekdo, jak zjistim co to dela?

    Marek

    Odpovědi

    17.1.2017 20:57 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost

    Napadají mne dva důvody, proč to v auditu nevidíte:

    • může to být 32-bitová aplikace používající 32-bitový syscall
    • mnohé programy (dost možná i většina) volají socket() s nulovým třetím parametrem, tj. defaultní protokol, což při kombinaci PF_INET a SOCK_STREAM je TCP
    • čistě technicky by ten socket mohl patřit jádru, ale u TCP spojení na port 443 a adresu patřící Googlu bych na to moc nesázel

    Možná vás ale spíš zajímá connect() než socket().

    Výstup ss pravděpodobně odpovídá tomu, že jste se zrovna trefil mezi SYN a RST. Zajímavější je otázka, proč chybí informace o procesu. Moje odpověď je "nevím". :-)

    Mimochodem, jedna z podstatných výhod ss oproti netstatu je v tom, že můžete specifikovat filtr, takže si jednak ušetříte nespolehlivý a neefektivní grep, jednak jádro předává příkazu informace jen o socketech, které vás zajímají (místo toho, aby se předávalo a vypisovalo všechno a pak z toho grep něco filtroval). V tomto případě např.

      ss -ntap dst 216.58.201.78
      ss -ntap dport == :443
    
    17.1.2017 20:58 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    mnohé programy (dost možná i většina) volají socket() s nulovým třetím parametrem, tj. defaultní protokol, což při kombinaci PF_INET a SOCK_STREAM je TCP

    Tohle ignorujte, díval jsem se na řádek z logu místo na ten z konfigurace.

    18.1.2017 12:41 marek
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Dekuji za odpovedi.

    Nakonec jsem to vyresil tak, ze jsem pomoci iptables DROPnul RST, takze ss mel vice casu a ten proces mi prozradil(necekane chrome).

    Ale to nevysvetluje proc to neni v audit

    Dekuji

    Marek
    18.1.2017 13:32 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Když víte, co to je, můžete použit strace a podívat se na všechna jeho volání socket(). (Předpokládám, že jste si ověřil, že to není 32-bitový proces.)
    18.1.2017 13:51 Vantomas | skóre: 31 | Praha
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Proč to 32bit procesy neukáže? To potom ten audit moc funkční není, když útočníkovi stačí použít 32bit binárku.
    18.1.2017 14:27 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Máte tam "-F arch=b64". Manuálová stránka doporučuje v případě, že se čísla syscallu liší (což je, pokud dobře vidím, i případ socket()), použít dvě pravidla, jedno s b64 a jedno s b32.
    20.1.2017 18:15 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Zdá se, že oprava je na cestě. :-)
    17.1.2017 21:24 NN
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Neni to proto, ze auditd monitoruje socket() syscall a otevrena TCP session jiz zadny port nealokuje?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.