de ceva timp am fost interesat de monitorizarea conexiunilor TCP/UDP cu informații detaliate despre procesul care a inițiat conexiunea
Am găsit un articol util despre asta - Găsirea procesului de proprietar de conexiuni TCP de scurtă durată
asa ca am executat:
auditctl -a ieșire, întotdeauna -F arch=b64 -S conectare -k MYCONNECT
și am început să monitorizez conexiunile, dar după ceva timp am observat că orice intrare în audit.log cu „SYSCALL=connect” este doar despre protocolul IPv4, toate au o vizualizare ca aceasta:
type=SYSCALL msg=audit(1626330176.452:56662005): arch=c000003e syscall=42 succes=no exit=-115 a0=1b a1=7ffea6f24b00 a2=10 a3=2 items=0 piid=82099 au piid=0 ppid=95 =0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(niciunul) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=cheie neconfinată ="MYCONNECT"ARCH=x86_64 SYSCALL=conectare AUID="unset" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="rădăcină"
type=SOCKADDR msg=audit(1626330176.452:56662005): saddr=0200005023E0AA54000000000000000SADDR={ fam=inet laddr=35.224.170.84}lport=80.84
type=PROCTITLE msg=audit(1626330176.452:56662005): proctitle="(kManager)"
unde fam=inet laddr=35.224.170.84 lport=80 - destinaton to connect
Am protocolul IPv6 activat, acest lucru poate fi văzut prin intermediul
ip a
Am adresa inet6 și IPv6, prin ip6tables am văzut că IPv6 funcționează și are conexiuni, dar nu le văd în audit.log - există doar conexiuni IPv6 așa cum am menționat mai sus
Este posibil să monitorizați IPv6 și prin auditd?
