abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 16:44 | Nová verze

    Bylo oznámeno vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | IT novinky

    Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

    Ladislav Hagara | Komentářů: 10
    včera 05:44 | Komunita

    PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

    Ladislav Hagara | Komentářů: 21
    včera 04:55 | Nová verze

    Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

    Ladislav Hagara | Komentářů: 0
    27.10. 21:00 | IT novinky

    Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.

    Ladislav Hagara | Komentářů: 0
    27.10. 17:11 | Humor

    Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.

    Ladislav Hagara | Komentářů: 1
    27.10. 16:11 | Komunita

    Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.

    Ladislav Hagara | Komentářů: 1
    26.10. 17:11 | IT novinky

    Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

    Ladislav Hagara | Komentářů: 4
    26.10. 13:33 | Komunita

    Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    25.10. 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (47%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (18%)
    Celkem 279 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Dotaz: auditctl vs tcpdump nesrovnalost

    17.1.2017 16:06 marek
    auditctl vs tcpdump nesrovnalost
    Přečteno: 539×
    Dobry den.

    Dle dokumentace kdyz mam zaple:

    # auditctl -l
    -a always,exit -F arch=b64 -S socket -F a0=0x2 -F key=TEST
    #

    Mel bych videt vsechna volani tcp socketu.

    Pokud udelam:

    nc 216.58.201.78 443

    skutecne v /var/log/audit/audit.log vidim:

    type=SYSCALL msg=audit(1484664247.522:74459): arch=c000003e syscall=41 success=yes exit=3 a0=2 a1=1 a2=6 a3=55de58c59140 items=0 ppid=18935 pid=19137 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts22 ses=1 comm="nc" exe="/usr/bin/ncat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="TEST"
    type=PROCTITLE msg=audit(1484664247.522:74459): proctitle=6E63003231362E35382E3230312E373800343433

    v tcpdump vidim odpovidajici:

    15:45:02.357762 IP 172.24.146.215.34144 > 216.58.201.78.443: Flags [S], seq 2203129635, win 29200, options [mss 1460,sackOK,TS val 1204233792 ecr 0,nop,wscale 7], length 0
    15:45:02.358440 IP 216.58.201.78.443 > 172.24.146.215.34144: Flags [R.], seq 1769143029, ack 2203129636, win 29200, length 0

    Potud v poradku.

    V tcpdump se mi ale objevuji spojeni, ke kterym neni adekvatni zaznam v /var/log/audit/audit.log:

    15:50:55.349067 IP 172.24.146.215.34498 > 216.58.201.78.443: Flags [S], seq 2932252123, win 29200, options [mss 1460,sackOK,TS val 1204586783 ecr 0,nop,wscale 7], length 0
    15:50:55.349663 IP 216.58.201.78.443 > 172.24.146.215.34498: Flags [R.], seq 1628348476, ack 2932252124, win 29200, length 0

    Pokud nahodou to spojeni chytim pomoci ss nema vyplnen proces:

    #while true; do  ss -napt; done | grep 216.58.201.78             
    SYN-SENT   0      1      172.24.146.215:34872              216.58.201.78:443                
    ^C
    #

    Tusite nekdo, jak zjistim co to dela?

    Marek

    Odpovědi

    17.1.2017 20:57 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost

    Napadají mne dva důvody, proč to v auditu nevidíte:

    • může to být 32-bitová aplikace používající 32-bitový syscall
    • mnohé programy (dost možná i většina) volají socket() s nulovým třetím parametrem, tj. defaultní protokol, což při kombinaci PF_INET a SOCK_STREAM je TCP
    • čistě technicky by ten socket mohl patřit jádru, ale u TCP spojení na port 443 a adresu patřící Googlu bych na to moc nesázel

    Možná vás ale spíš zajímá connect() než socket().

    Výstup ss pravděpodobně odpovídá tomu, že jste se zrovna trefil mezi SYN a RST. Zajímavější je otázka, proč chybí informace o procesu. Moje odpověď je "nevím". :-)

    Mimochodem, jedna z podstatných výhod ss oproti netstatu je v tom, že můžete specifikovat filtr, takže si jednak ušetříte nespolehlivý a neefektivní grep, jednak jádro předává příkazu informace jen o socketech, které vás zajímají (místo toho, aby se předávalo a vypisovalo všechno a pak z toho grep něco filtroval). V tomto případě např.

      ss -ntap dst 216.58.201.78
      ss -ntap dport == :443
    
    17.1.2017 20:58 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    mnohé programy (dost možná i většina) volají socket() s nulovým třetím parametrem, tj. defaultní protokol, což při kombinaci PF_INET a SOCK_STREAM je TCP

    Tohle ignorujte, díval jsem se na řádek z logu místo na ten z konfigurace.

    18.1.2017 12:41 marek
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Dekuji za odpovedi.

    Nakonec jsem to vyresil tak, ze jsem pomoci iptables DROPnul RST, takze ss mel vice casu a ten proces mi prozradil(necekane chrome).

    Ale to nevysvetluje proc to neni v audit

    Dekuji

    Marek
    18.1.2017 13:32 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Když víte, co to je, můžete použit strace a podívat se na všechna jeho volání socket(). (Předpokládám, že jste si ověřil, že to není 32-bitový proces.)
    18.1.2017 13:51 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Proč to 32bit procesy neukáže? To potom ten audit moc funkční není, když útočníkovi stačí použít 32bit binárku.
    18.1.2017 14:27 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Máte tam "-F arch=b64". Manuálová stránka doporučuje v případě, že se čísla syscallu liší (což je, pokud dobře vidím, i případ socket()), použít dvě pravidla, jedno s b64 a jedno s b32.
    20.1.2017 18:15 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Zdá se, že oprava je na cestě. :-)
    17.1.2017 21:24 NN
    Rozbalit Rozbalit vše Re: auditctl vs tcpdump nesrovnalost
    Neni to proto, ze auditd monitoruje socket() syscall a otevrena TCP session jiz zadny port nealokuje?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.