O que determina a promiscuidade de uma interface, os sinalizadores ou propriedades da interface?

Conforme explicado no patch que introduziu o promiscuityparâmetro somente leitura para ip-link/ iproute2:

o sinalizador IFF_PROMISCé exportado pelo kernel apenas quando o usuário o define explicitamente, por exemplo, não será exportado quando a tcpdumpestiver em execução).

+ if (do_link && tb[IFLA_PROMISCUITY] && show_details)
+     fprintf(fp, "\n    promiscuity %u ",
+         *(int*)RTA_DATA(tb[IFLA_PROMISCUITY]));

E, de fato, a dev_get_flags()função do kernel que é usada tanto pela ioctl(SIOCGIFFLAGS)interface (como usada por ifconfig) quanto pela interface rtnetlink (como usada por ip link show), limpará explicitamenteIFF_PROMISC do conjunto de sinalizadores exportados para a área do usuário:

 *      Get the combination of flag bits exported through APIs to userspace.
 */
unsigned int dev_get_flags(const struct net_device *dev)
{
        unsigned int flags;

        flags = (dev->flags & ~(IFF_PROMISC |
                                        ...)) |
                (dev->gflags & (IFF_PROMISC |
                                IFF_ALLMULTI));

[o dev->gflagsacima é um conjunto de sinalizadores de compatibilidade que não são usados ​​pelo kernel, mas apenas definidos e recuperados pelas interfaces do espaço do usuário]

A única maneira de verificar no espaço do usuário se uma interface está no modo promíscuo é (assim como ip -d link show) por meio do IFLA_PROMISCUITYatributo recuperado pela rtnetlink(7)interface. Isso reflete a contagem real de promiscuidade do dispositivo: promiscuity > 0significa que o dispositivo está no modo promíscuo.

Atualizar os sinalizadores do dispositivo via ifconfig DEV promiscou ip link set dev DEV promisc onnão é a única maneira de definir um dispositivo no modo promíscuo: outra forma é através da interface:packet(7) setsockopt()

setsockopt(sock, SOL_SOCKET, PACKET_ADD_MEMBERSHIP, {.mr_type = PACKET_MR_PROMISC})`

É isso que tcpdump(e outras ferramentas de captura e filtragem de rede) estão usando.

PROMISCUOUSé uma bandeira por si só, não uma combinação de outras.

O sinalizador não está definido no dump que você forneceu.

Se eu defini-lo no meu sistema manualmente, posso vê-lo claramente:

~# ifconfig eth0 promisc
~# ip link show dev eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 28:f1:0e:09:b8:f8 brd ff:ff:ff:ff:ff:ff
root@NEO-L196:~# ip -o -d link show dev eth0
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000\    link/ether 28:f1:0e:09:b8:f8 brd ff:ff:ff:ff:ff:ff promiscuity 1 addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 
~# 

Se você continuar recebendo o aviso do Lynis, há duas possibilidades:

• Lynis está com problemas e relatou um falso positivo.

• Seu sistema foi hackeado e protegido por backdoor: o hacker substituiu o ip, ifconfige routeos binários por outros corrigidos que escondem o sinalizador promíscuo.