Puncte:1

IPTables log conexiune pid pe lanțul OUTPUT

drapel vn

Încerc să găsesc pid a unui socket folosind jurnalul de lanț iptables OUTPUT sau chiar mai bine adăugându-l în jurnal.

Regula mea actuală pentru iptable:

sudo iptables -A OUTPUT -j LOG --log-prefix='[PID]' --log-level 7 --log-uid

Sunt puțin frustrat pentru că știu că iptables' proprietar modulul poate filtra articole după pid (folosind -m proprietar --owner-pid flag), ceea ce înseamnă că informațiile sunt acolo, dar nu le pot înregistra.

Știu că este imposibil să faci cu lanțul INPUT, deoarece iptables este un proces de nucleu, dar pentru lanțul OUTPUT ar trebui să fie posibil.

vreo idee? sau chiar despre cum să traversezi unele date de jurnal pentru a obține PID-ul conexiunilor în lanț de OUTPUT?

A.B avatar
drapel cl
A.B
https://meta.stackexchange.com/questions/64068/is-cross-posting-a-question-on-multiple-stack-exchange-sites-permitted-if-the-qu ( https://unix.stackexchange. com/questions/688185/iptables-log-connection-pid-on-output-chain )
Puncte:0
drapel fr

Deci, în prezent, nu există nicio modalitate ca IPtables să filtreze pachetele pe baza PID. Dar o poți face pe baza UID sau GID:

opțiuni de potrivire a proprietarului:
[!] --uid-owner userid[-userid] Se potrivește cu UID-ul local
[!] --gid-owner groupid[-groupid] Potriviți GID-ul local
[!] --socket-exists Se potrivește dacă socket-ul există
    --suppl-groups Potriviți și grupurile suplimentare setate cu --gid-owner

Puteți adăuga un utilizator nou și apoi rulați aplicația ca utilizator nou creat:

aplicația utilizator sudo -u

Dacă aveți utilizatori existenți, de exemplu, postfix, care au deja conturi de utilizator, puteți face acest lucru:

Mai întâi, găsiți UID-ul utilizatorului:

[root@mail ~]# cat /etc/passwd | grep postfix
postfix:x:89:89::/var/spool/postfix:/sbin/nologin

În al doilea rând, adăugați această regulă iptables. Acordați atenție unde doriți în lanțul OUTPUT:

/usr/sbin/iptables -A OUTPUT -m proprietar --uid-owner 89 -j LOG --log-prefix "POSTFIX: "

Și apoi toate pachetele de la utilizator postfix vor fi înregistrate.

Or Yaacov avatar
drapel vn
se pare că opțiunea --cmd-owner a fost eliminată în nucleu >= 2.6.15. (nereparabil)
drapel fr
Da ai dreptate. Tocmai am editat postarea.
Or Yaacov avatar
drapel vn
Mulțumesc încă o dată Cameron, dar tot nu este ceea ce căutam.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.